El objetivo de este artículo es explicar la metodología que utilizan generalmente los hackers para infiltrarse en un sistema informático. El propósito del mismo no es explicar cómo poner en riesgo un sistema sino contribuir a la comprensión de cómo funciona el proceso para lograr una mejor protección. En efecto, la mejor manera de proteger el sistema es usando el mismo enfoque que utilizan los hackers para trazar las vulnerabilidades del sistema.
Como tal, este artículo no proporciona información específica acerca de cómo sacar provecho de las fallas, sino que explica cómo detectarlas y corregirlas.
El objetivo del atacante
Lo primero que hacen los hackers que tratan de infiltrarse en sistemas informáticos es buscar falencias, es decir, vulnerabilidades perjudiciales para la seguridad del sistema, en los protocolos, los sistemas operativos, las aplicaciones e incluso los empleados de una organización. Los términos vulnerabilidad, brecha y, el más informal, agujero de seguridad también se usan para referirse a las fallas de seguridad.
Para poder implementar una vulnerabilidad (término técnico que significa sacar provecho de una falla), el hacker primero debe recuperar una cantidad máxima de información acerca de la arquitectura de la red y de los sistemas operativos y aplicaciones que se ejecutan en esta red. La mayoría de los ataques son obra de script kiddies que intentan usar los puntos vulnerables que encuentran en Internet, sin conocimiento del sistema ni de los riesgos relacionados.
Una vez que el hacker crea un mapa del sistema, puede aplicar las vulnerabilidades relacionadas con las versiones de las aplicaciones que ha relevado. El acceso inicial a un ordenador le permitirá expandir su acción para recuperar otra información y posiblemente obtener mayores privilegios en el equipo.
El momento en que se obtiene acceso de administrador (generalmente se usa el término acceso de raíz), es cuando decimos que el equipo está comprometido (o, más precisamente, que se ha producido un compromiso de raíz) ya que los archivos del sistema pueden haber sido modificados. En este punto, el hacker tiene el control máximo del equipo.
La última etapa para el hacker consiste en eliminar sus huellas para evitar sospechas por parte del administrador de la red en riesgo y para retener el control sobre los equipos en riesgo por el mayor período de tiempo posible.
Recuperación de información del sistema
La información acerca de la dirección de red del objetivo, a la que generalmente se llama huella digital, debe obtenerse antes de lanzar un ataque. Esto implica reunir la mayor cantidad de información posible acerca de las infraestructuras de comunicación de la red objetivo:
Direcciones IP
Nombres de dominio
Protocolos de red
Servicios activados
Arquitectura del servidor
etc.
Consulta de Bases Públicas
Obteniendo la dirección IP pública de una de las máquinas o simplemente el nombre de dominio de la organización, un pirata es potencialmente capaz de conocer la dirección de la red entera, esto es, la gama de direcciones IP públicas que pertenecen a la organización elegida y su división en sub-redes. Para esto, lo único que debe hacer es consultar las bases públicas que otorgan direcciones IP y los nombres de dominios:
http://www.iana.net/
http://www.ripe.net/ para Europa
http://www.arin.net/ para los Estados Unidos
Análisis de la red
Una vez que el hacker conoce la topología de la red, puede analizarla (o escanearla); es decir, utilizar una herramienta de software (llamada escáner) para determinar las direcciones IP activas en la red, los puertos abiertos que corresponden a servicios accesibles, y el sistema operativo que usan sus servidores.
Una de las herramientas más populares de análisis es Nmap, el cual es reconocido por muchos administradores de red como una herramienta fundamental para proporcionar seguridad a las redes. Esta herramienta envía paquetes TCP y/o UDP a un grupo de máquinas de una red (determinada por la dirección de la red y una máscara) y luego analiza las respuestas. Según la velocidad de los paquetes TCP recibidos, puede determinar el sistema operativo remoto para cada máquina analizada.
Existe otro tipo de escáner, llamado trazador pasivo (uno de los más conocidos es Siphon), el cual hace posible averiguar la topología de red del subproceso físico en el que el trazador analiza los paquetes. A diferencia de los escáners previos, esta herramienta no envía paquetes por la red y, por lo tanto, los sistemas de detección de intrusión no la pueden detectar.
Además, algunas herramientas pueden recibir conexiones X (un servidor X es aquél que administra la visualización de máquinas de tipo UNIX). Este sistema está diseñado para poder usar la visualización de los ordenadores presentes en la red a fin estudiar lo que se visualiza en las pantallas y, eventualmente, para interceptar las claves que ingresan los usuarios de máquinas vulnerables.
Captura de banner (o bandera)
Cuando finaliza el análisis de la red, el hacker sólo necesita examinar el archivo de registro de las herramientas utilizadas para averiguar las direcciones IP de las máquinas conectadas a la red y los puertos abiertos de la red.
Los números de los puertos abiertos de las máquinas pueden brindar información con respecto al tipo de servicio abierto y le permiten buscar en el servicio para obtener información adicional con respecto a la versión del servidor en la denominada información de "banner".
Como tal, para averiguar la versión de un servidor HTTP, un pirata puede simplemente establecer una comunicación de tipo Telnet con el servidor de la web en el puerto 80: telnet es.kioskea.net 80y luego solicitar la página de inicio: GET / HTTP/1.0El servidor responde entonces con el siguiente encabezamiento: HTTP/1.1 200 OK Date: Jue, 21 Mar 2002 18:22:57 GMT Server: Apache/1.3.20 (Unix) Debian/GNUSe sabe ahora cuál es el sistema operativo, el servidor y la versión que utiliza.
Ingeniería social
La ingeniería social consiste en manipular a los seres humanos; es decir, aprovecharse de la ingenuidad y la bondad excesiva de los usuarios de la red para obtener información acerca de esta última. Este proceso implica el contacto con el usuario de red, generalmente haciéndose pasar por otra persona, para obtener información acerca del sistema de información y en lo posible para obtener directamente una contraseña. En forma similar, en el sistema remoto se puede crear una falencia al enviar un troyano a alguno de los usuarios de la red. Lo único que se necesita es que el usuario abra el archivo adjunto para que el atacante externo tenga acceso interno a la red.
Por esta razón, las políticas de seguridad deben ser exhaustivas e incorporar factores humanos (por ejemplo, concienciar al usuario con respecto a los problemas de seguridad), ya que el nivel de seguridad de un sistema es tan elevado como el más débil de sus eslabones.
Cómo detectar falencias
Luego de realizar un inventario del software y posiblemente del hardware presente, el hacker necesita determinar la presencia de falencias.
Existen escáners de vulnerabilidad en el mercado que permiten a los administradores exponer sus redes a pruebas intrusivas para averiguar si ciertas aplicaciones presentan falencias de seguridad. Los dos escáners de vulnerabilidad principales son:
Nessus
SAINT
También se aconseja a los administradores de red que visiten regularmente sitios web que mantengan actualizada la base de datos contra la vulnerabilidad:
SecurityFocus / Vulnerabilidades Además, algunas asociaciones, en particular CERTs (Computer Emergency Response Teams (equipos de respuesta ante una emergencia con el ordenador), capitalizan las vulnerabilidades y reúnen información relacionada con problemas de seguridad.
CERT IST dedicada a la industria francesa, a los servicios y a la comunidad terciaria,
CERT IST dedicada a la administración francesa
CERT Renater dedicada a los miembros de GIP RENATER (Red Nacional Francesa de Telecomunicaciones para la Tecnología, la Educación y la Investigación)
Intrusión
Una vez que el hacker realiza el mapa de los recursos y de los equipos presentes en la red, está listo para preparar su intrusión.
Para poder infiltrarse en la red, el pirata necesita acceder a cuentas válidas en las máquinas que ha recensado. Para hacer esto, los hackers utilizan varios métodos:
La ingeniería social es uno de ellos. Es decir, el contacto directo con ciertos usuarios de red (por correo electrónico o teléfono) para poder extraer información vinculada con la ID o con la contraseña del usuario. Generalmente, esto se implementa simulando ser el administrador de red.
Consultando el directorio, la mensajería o los servicios para compartir archivos, los cuales permiten encontrar nombres de usuario válidos
Explotando las vulnerabilidades en los comandos Berkeley R*.
Forzando la obtención de un crack. Para esto, los hackers prueban, automáticamente, diferentes contraseñas en una lista de cuenta (por ejemplo, la ID seguida posiblemente de un número o la contraseña (password o passwd, etc.).
Incremento de privilegios
Cuando el pirata obtuvo uno o más accesos a la red gracias a una o más cuentas con bajos niveles de protección, éste querrá alcanzar más privilegios mediante la obtención de un acceso a la raíz. Esto se denomina incremento de privilegios.
Ni bien obtiene acceso a la raíz de una máquina, el atacante puede examinar la red para buscar información adicional.
Luego, puede instalar un rastreador de puertos (sniffer en inglés), es decir, un programa capaz de controlar (o rastrear) el tráfico de red que viene desde o se dirige hacia máquinas ubicadas en el mismo subproceso. Gracias a esta técnica, el hacker puede tener la esperanza de obtener los pares ID/contraseña que le proporcionarán acceso a cuentas con privilegios que se extienden a otras máquinas de red (por ejemplo, acceso a una cuenta del administrador) para poder controlar una mayor parte de la red.
Los servidores NIS presentes en una red también son el blanco preferido de los piratas, ya que poseen mucha información acerca de la red y de sus usuarios.
Compromiso
Gracias a los pasos previos, el hacker ha podido realizar un mapa completo de la red, de las máquinas presentes en la red y de sus falencias, y tiene acceso a la raíz de al menos una de ellas. Ahora, puede extender aún más su campo de acción al explotar las relaciones de confianza que existen entre varias máquinas.
Esta técnica de suplantación de la identidad (llamada spoofing) permite al hacker penetrar en redes confidenciales a las que la máquina comprometida tiene acceso.
Puerta trasera
Una vez que un hacker se ha infiltrado con éxito en la red de una compañía y ha comprometido una máquina, es posible que desee regresar. Para lograrlo, instalará una aplicación que creará artificialmente una falencia de seguridad. Esto se denomina puerta trasera. En ciertas ocasiones también se utiliza el término trampilla.
Cómo eliminar las huellas
Una vez que el intruso ha obtenido suficiente control de la red, necesitará borrar la evidencia de su visita eliminando los archivos que creó y borrando los archivos de registro de las máquinas en las que penetró; es decir, borrando las evidencias de actividades relacionadas con sus acciones.
También existen programas, denominados "rootkits", que permiten reemplazar las herramientas de administración del sistema por versiones modificadas para ocultar la presencia del pirata en el sistema. Si el administrador se conecta al mismo tiempo que el hacker, es probable que note los servicios que el hacker ha ejecutado, o que, simplemente, vea que hay otra persona conectada al mismo tiempo. El objetivo de un rootkit, entonces, es engañar al administrador ocultando la realidad.
Conclusión
Todos los administradores de redes que estén conectados a Internet son responsables de la seguridad de la red y deben realizar pruebas para encontrar falencias.
Por esta razón, un administrador de red debe mantenerse informado acerca de las vulnerabilidades de los programas que usa "poniéndose en la piel de un hacker" para intentar infiltrarse en su propio sistema y trabajar continuamente en un contexto de paranoia.
Cuando las propias capacidades de la compañía no son adecuadas para realizar esta operación, otra compañía que se especialice en seguridad informática puede llevar a cabo una auditoría.
Para obtener más información
http://www.frsirt.com/
http://www.hackers-news.com/
http://www.lesnouvelles.net/
Artículo escrito por Jean-François PILLOU, basado en un artículo escrito por GomoR.
Como tal, este artículo no proporciona información específica acerca de cómo sacar provecho de las fallas, sino que explica cómo detectarlas y corregirlas.
El objetivo del atacante
Lo primero que hacen los hackers que tratan de infiltrarse en sistemas informáticos es buscar falencias, es decir, vulnerabilidades perjudiciales para la seguridad del sistema, en los protocolos, los sistemas operativos, las aplicaciones e incluso los empleados de una organización. Los términos vulnerabilidad, brecha y, el más informal, agujero de seguridad también se usan para referirse a las fallas de seguridad.
Para poder implementar una vulnerabilidad (término técnico que significa sacar provecho de una falla), el hacker primero debe recuperar una cantidad máxima de información acerca de la arquitectura de la red y de los sistemas operativos y aplicaciones que se ejecutan en esta red. La mayoría de los ataques son obra de script kiddies que intentan usar los puntos vulnerables que encuentran en Internet, sin conocimiento del sistema ni de los riesgos relacionados.
Una vez que el hacker crea un mapa del sistema, puede aplicar las vulnerabilidades relacionadas con las versiones de las aplicaciones que ha relevado. El acceso inicial a un ordenador le permitirá expandir su acción para recuperar otra información y posiblemente obtener mayores privilegios en el equipo.
El momento en que se obtiene acceso de administrador (generalmente se usa el término acceso de raíz), es cuando decimos que el equipo está comprometido (o, más precisamente, que se ha producido un compromiso de raíz) ya que los archivos del sistema pueden haber sido modificados. En este punto, el hacker tiene el control máximo del equipo.
La última etapa para el hacker consiste en eliminar sus huellas para evitar sospechas por parte del administrador de la red en riesgo y para retener el control sobre los equipos en riesgo por el mayor período de tiempo posible.
Recuperación de información del sistema
La información acerca de la dirección de red del objetivo, a la que generalmente se llama huella digital, debe obtenerse antes de lanzar un ataque. Esto implica reunir la mayor cantidad de información posible acerca de las infraestructuras de comunicación de la red objetivo:
Direcciones IP
Nombres de dominio
Protocolos de red
Servicios activados
Arquitectura del servidor
etc.
Consulta de Bases Públicas
Obteniendo la dirección IP pública de una de las máquinas o simplemente el nombre de dominio de la organización, un pirata es potencialmente capaz de conocer la dirección de la red entera, esto es, la gama de direcciones IP públicas que pertenecen a la organización elegida y su división en sub-redes. Para esto, lo único que debe hacer es consultar las bases públicas que otorgan direcciones IP y los nombres de dominios:
http://www.iana.net/
http://www.ripe.net/ para Europa
http://www.arin.net/ para los Estados Unidos
Análisis de la red
Una vez que el hacker conoce la topología de la red, puede analizarla (o escanearla); es decir, utilizar una herramienta de software (llamada escáner) para determinar las direcciones IP activas en la red, los puertos abiertos que corresponden a servicios accesibles, y el sistema operativo que usan sus servidores.
Una de las herramientas más populares de análisis es Nmap, el cual es reconocido por muchos administradores de red como una herramienta fundamental para proporcionar seguridad a las redes. Esta herramienta envía paquetes TCP y/o UDP a un grupo de máquinas de una red (determinada por la dirección de la red y una máscara) y luego analiza las respuestas. Según la velocidad de los paquetes TCP recibidos, puede determinar el sistema operativo remoto para cada máquina analizada.
Existe otro tipo de escáner, llamado trazador pasivo (uno de los más conocidos es Siphon), el cual hace posible averiguar la topología de red del subproceso físico en el que el trazador analiza los paquetes. A diferencia de los escáners previos, esta herramienta no envía paquetes por la red y, por lo tanto, los sistemas de detección de intrusión no la pueden detectar.
Además, algunas herramientas pueden recibir conexiones X (un servidor X es aquél que administra la visualización de máquinas de tipo UNIX). Este sistema está diseñado para poder usar la visualización de los ordenadores presentes en la red a fin estudiar lo que se visualiza en las pantallas y, eventualmente, para interceptar las claves que ingresan los usuarios de máquinas vulnerables.
Captura de banner (o bandera)
Cuando finaliza el análisis de la red, el hacker sólo necesita examinar el archivo de registro de las herramientas utilizadas para averiguar las direcciones IP de las máquinas conectadas a la red y los puertos abiertos de la red.
Los números de los puertos abiertos de las máquinas pueden brindar información con respecto al tipo de servicio abierto y le permiten buscar en el servicio para obtener información adicional con respecto a la versión del servidor en la denominada información de "banner".
Como tal, para averiguar la versión de un servidor HTTP, un pirata puede simplemente establecer una comunicación de tipo Telnet con el servidor de la web en el puerto 80: telnet es.kioskea.net 80y luego solicitar la página de inicio: GET / HTTP/1.0El servidor responde entonces con el siguiente encabezamiento: HTTP/1.1 200 OK Date: Jue, 21 Mar 2002 18:22:57 GMT Server: Apache/1.3.20 (Unix) Debian/GNUSe sabe ahora cuál es el sistema operativo, el servidor y la versión que utiliza.
Ingeniería social
La ingeniería social consiste en manipular a los seres humanos; es decir, aprovecharse de la ingenuidad y la bondad excesiva de los usuarios de la red para obtener información acerca de esta última. Este proceso implica el contacto con el usuario de red, generalmente haciéndose pasar por otra persona, para obtener información acerca del sistema de información y en lo posible para obtener directamente una contraseña. En forma similar, en el sistema remoto se puede crear una falencia al enviar un troyano a alguno de los usuarios de la red. Lo único que se necesita es que el usuario abra el archivo adjunto para que el atacante externo tenga acceso interno a la red.
Por esta razón, las políticas de seguridad deben ser exhaustivas e incorporar factores humanos (por ejemplo, concienciar al usuario con respecto a los problemas de seguridad), ya que el nivel de seguridad de un sistema es tan elevado como el más débil de sus eslabones.
Cómo detectar falencias
Luego de realizar un inventario del software y posiblemente del hardware presente, el hacker necesita determinar la presencia de falencias.
Existen escáners de vulnerabilidad en el mercado que permiten a los administradores exponer sus redes a pruebas intrusivas para averiguar si ciertas aplicaciones presentan falencias de seguridad. Los dos escáners de vulnerabilidad principales son:
Nessus
SAINT
También se aconseja a los administradores de red que visiten regularmente sitios web que mantengan actualizada la base de datos contra la vulnerabilidad:
SecurityFocus / Vulnerabilidades Además, algunas asociaciones, en particular CERTs (Computer Emergency Response Teams (equipos de respuesta ante una emergencia con el ordenador), capitalizan las vulnerabilidades y reúnen información relacionada con problemas de seguridad.
CERT IST dedicada a la industria francesa, a los servicios y a la comunidad terciaria,
CERT IST dedicada a la administración francesa
CERT Renater dedicada a los miembros de GIP RENATER (Red Nacional Francesa de Telecomunicaciones para la Tecnología, la Educación y la Investigación)
Intrusión
Una vez que el hacker realiza el mapa de los recursos y de los equipos presentes en la red, está listo para preparar su intrusión.
Para poder infiltrarse en la red, el pirata necesita acceder a cuentas válidas en las máquinas que ha recensado. Para hacer esto, los hackers utilizan varios métodos:
La ingeniería social es uno de ellos. Es decir, el contacto directo con ciertos usuarios de red (por correo electrónico o teléfono) para poder extraer información vinculada con la ID o con la contraseña del usuario. Generalmente, esto se implementa simulando ser el administrador de red.
Consultando el directorio, la mensajería o los servicios para compartir archivos, los cuales permiten encontrar nombres de usuario válidos
Explotando las vulnerabilidades en los comandos Berkeley R*.
Forzando la obtención de un crack. Para esto, los hackers prueban, automáticamente, diferentes contraseñas en una lista de cuenta (por ejemplo, la ID seguida posiblemente de un número o la contraseña (password o passwd, etc.).
Incremento de privilegios
Cuando el pirata obtuvo uno o más accesos a la red gracias a una o más cuentas con bajos niveles de protección, éste querrá alcanzar más privilegios mediante la obtención de un acceso a la raíz. Esto se denomina incremento de privilegios.
Ni bien obtiene acceso a la raíz de una máquina, el atacante puede examinar la red para buscar información adicional.
Luego, puede instalar un rastreador de puertos (sniffer en inglés), es decir, un programa capaz de controlar (o rastrear) el tráfico de red que viene desde o se dirige hacia máquinas ubicadas en el mismo subproceso. Gracias a esta técnica, el hacker puede tener la esperanza de obtener los pares ID/contraseña que le proporcionarán acceso a cuentas con privilegios que se extienden a otras máquinas de red (por ejemplo, acceso a una cuenta del administrador) para poder controlar una mayor parte de la red.
Los servidores NIS presentes en una red también son el blanco preferido de los piratas, ya que poseen mucha información acerca de la red y de sus usuarios.
Compromiso
Gracias a los pasos previos, el hacker ha podido realizar un mapa completo de la red, de las máquinas presentes en la red y de sus falencias, y tiene acceso a la raíz de al menos una de ellas. Ahora, puede extender aún más su campo de acción al explotar las relaciones de confianza que existen entre varias máquinas.
Esta técnica de suplantación de la identidad (llamada spoofing) permite al hacker penetrar en redes confidenciales a las que la máquina comprometida tiene acceso.
Puerta trasera
Una vez que un hacker se ha infiltrado con éxito en la red de una compañía y ha comprometido una máquina, es posible que desee regresar. Para lograrlo, instalará una aplicación que creará artificialmente una falencia de seguridad. Esto se denomina puerta trasera. En ciertas ocasiones también se utiliza el término trampilla.
Cómo eliminar las huellas
Una vez que el intruso ha obtenido suficiente control de la red, necesitará borrar la evidencia de su visita eliminando los archivos que creó y borrando los archivos de registro de las máquinas en las que penetró; es decir, borrando las evidencias de actividades relacionadas con sus acciones.
También existen programas, denominados "rootkits", que permiten reemplazar las herramientas de administración del sistema por versiones modificadas para ocultar la presencia del pirata en el sistema. Si el administrador se conecta al mismo tiempo que el hacker, es probable que note los servicios que el hacker ha ejecutado, o que, simplemente, vea que hay otra persona conectada al mismo tiempo. El objetivo de un rootkit, entonces, es engañar al administrador ocultando la realidad.
Conclusión
Todos los administradores de redes que estén conectados a Internet son responsables de la seguridad de la red y deben realizar pruebas para encontrar falencias.
Por esta razón, un administrador de red debe mantenerse informado acerca de las vulnerabilidades de los programas que usa "poniéndose en la piel de un hacker" para intentar infiltrarse en su propio sistema y trabajar continuamente en un contexto de paranoia.
Cuando las propias capacidades de la compañía no son adecuadas para realizar esta operación, otra compañía que se especialice en seguridad informática puede llevar a cabo una auditoría.
Para obtener más información
http://www.frsirt.com/
http://www.hackers-news.com/
http://www.lesnouvelles.net/
Artículo escrito por Jean-François PILLOU, basado en un artículo escrito por GomoR.
0 Response to "Como funcionan los Hackers: consejos para protegerte."
Publicar un comentario
Opina sobre lo que has leído ¡Comenta!