ESCUELA POLITECNICA NACIONAL

ESCUELA DE POSTGRADO EN INGENIERIA Y CIENCIAS MAESTRIA EN COMERCIO Y NEGOCIOS ELECTRONICOS

Arquitecturas Tecnolgicas Orientadas a Negocios Moiss Escobar, MSc - MBA

Ataques en Internet
Para proteger la informacin de las compaas, se debe conocer a los piratas informticos y sus mtodos de ataque

ESCOBAR M. NARANJO R., Diseo de VPNs de bajo costo, EPN UASB.

Objetivo
Estudiar las tipologas de los delincuentes informticos y sus tcnicas de ataque con la finalidad de implementar adecuados sistemas de seguridad y proteccin de la informacin.

Introduccin
Actualmente, los piratas ya no tienen un parche en su ojo ni un garfio en reemplazo de la mano, tampoco existen los barcos ni los tesoros escondidos debajo del mar. Llegando al ao 2001, los piratas informticos se presentan con un cerebro desarrollado, curioso y con muy pocas armas: una simple computadora y una lnea telefnica.

Introduccin
Hacker, es una palabra que an no se encuentra en los diccionarios pero que ya suena en todas las personas que alguna vez se interesaron por la informtica, proviene de "hack", el sonido que hacan los tcnicos de las empresas telefnicas al golpear los aparatos para que funcionen. Hoy es una palabra temida por empresarios, legisladores y autoridades que desean controlar a quienes se divierten descifrando claves para ingresar a lugares prohibidos y tener acceso a informacin indebida.

Introduccin
Unas pocas estadsticas: durante 1997, el 54 por ciento de las empresas norteamericanas sufrieron ataques de hackers en sus sistemas. Las incursiones de los piratas informticos, ocasionaron prdidas totales de 137 millones de dlares en ese mismo ao. El Pentgono, la CIA, UNICEF, la ONU y dems organismos mundiales han sido vctimas de intromisiones por parte de estas personas que tienen muchos conocimientos en la materia y tambin una gran capacidad para resolver los obstculos que se les presentan.

Introduccin
Un hacker puede tardar meses en vulnerar un sistema ya que son cada vez ms sofisticados, pero el lema es viejo: hecha la ley, hecha la trampa. Los medios de comunicacin masivos prefieren tildarlos de delincuentes que interceptan cdigos de tarjetas de crdito y los utilizan para beneficio propio, tambin estn los que se entrometen en los sistemas de aeropuertos produciendo un caos en los vuelos y en los horarios de los aviones.

Tipos de piratas
El avance informtico ha introducido nuevos trminos en el vocabulario, una de estas palabras, hacker, tiene que ver con los delitos informticos. Tenemos la impresin de que el trmino "hacker" es uno de los peor entendidos, aplicados y, por tanto, usados en la era informtica. Existen cuatro tipos de piratas informticos:
Craker, hacker, phreaker y telepiratas.

Crakers
Los crackers (crack = destruir). Son personas que siempre buscan molestar a otros, piratear software protegido por leyes, destruir sistemas muy complejos mediante la transmisin de poderosos virus, etc.

Crakers
Los crackers son adolescentes inquietos que aprenden rpidamente este complejo oficio, se diferencian con los hackers porque no poseen ningn tipo de ideologa cuando realizan sus trabajos. En cambio, el principal objetivo de los hackers no es convertirse en delincuentes sino "pelear contra un sistema injusto" utilizando como arma al propio sistema, su guerra es silenciosa pero muy convincente.

Hackers
La cultura popular define a los hackers como aquellas personas que, con ayuda de sus conocimientos informticos consiguen acceder a los ordenadores de los bancos y de las instituciones del gobierno, bucean por informacin que no les pertenece, roban software caro y realizan transacciones de una cuenta bancaria a otra.

Hackers
Los criminlogos, por otra parte, describen a los hackers en trminos menos halagadores. Donn Parker los denomina "violadores electrnicos" y August Bequai los describe como "vndalos electrnicos". Ambos, aunque aseveran que las actividades de los hackers son ilegales, eluden hbilmente llamarlos "criminales informticos". Hacen una clara distincin entre el hacker que realiza sus actividades por diversin y el empleado de la empresa que de repente decide hacer algo malo.

Hackers
Parece que tenemos una definicin en la que caben dos extremos: por un lado, el moderno ladrn de bancos y por otro el inquieto explorador. Ambas actividades son calificadas con el mismo trmino y difcilmente se podra considerar esto como un ejemplo de conceptualizacin precisa. Una gran parte de esta ambigedad puede seguirse desde el origen del mencionado trmino. Se comenz a usarse esta palabra aplicndola a un grupo de pioneros de la informtica del MIT, a principios de la dcada de 1960.

Hackers
Hasta la dcada de 1970, un hacker era una persona obsesionada por conocer lo mximo posible sobre los sistemas informticos. Los diseadores del ordenador Apple, Jobs y Wozniack, pueden considerarse hackers en este sentido de la palabra. En la dcada de 1980, influenciados por la pelcula Juegos de Guerra, y el arresto de una "banda de hackers" conocida como la 414, los hackers pasaron a ser considerados como chicos jvenes capaces de violar sistemas informticos de grandes empresas y del gobierno.

Hackers
Un hacker es una persona que tiene el conocimiento, habilidad y deseo de explorar completamente un sistema informtico, el mero hecho de conseguir el acceso no es suficiente para conseguir tal denominacin. Debe haber un deseo de liderar, explotar y usar el sistema despus de haber accedido a l, por lo que esta distincin parece lgica, ya que no todos los intrusos mantienen el inters una vez que han logrado acceder al sistema.

Hackers
Como el sistema esta siendo utilizado sin autorizacin, el hacker no suele tener, en trminos generales, acceso a los manuales de operacin y otros recursos disponibles para los usuarios legtimos del sistema. Por tanto, el hacker experimenta con estructuras de comandos y explora ficheros para conocer el uso que se da al sistema, no se trata solo de acceder al sistema, sino de aprender ms sobre la operacin y manejo.

Hackers
La mayora de hackers no destruyen y no daan deliberadamente los datos, al hacerlo iran en contra de su intencin de mezclarse con el usuario normal y atraera la atencin sobre su presencia, haciendo que la cuenta usada sea borrada. Despus de gastar un tiempo sustancioso en conseguir la cuenta, el hacker pone una alta prioridad para que su uso no sea descubierto.

Hackers
En el submundo informtico, las claves de acceso y las cuentas suelen intercambiarse y ponerse a disposicin del pblico en general. Por tanto, el hecho de conseguir el acceso puede considerarse como la parte "fcil", por lo que aquellos que utilizan y exploran los sistemas son los que tienen un mayor prestigio.

Phreakers
Los phreakers telefnicos es un trmino que se populariz cuando se publicaron las aventuras de John Draper, en un artculo de la revista Esquire, en 1971. Se trata de una forma de evitar los mecanismos de facturacin de las compaas telefnicas y permite llamar a cualquier parte del mundo sin costo.

Phreakers
Tambin evitan, o al menos inhiben, la posibilidad de que se pueda trazar el camino de la llamada hasta su origen, evitando as la posibilidad de ser atrapado. Para la mayor parte de los miembros del submundo informtico, esta es simplemente una herramienta para poder realizar llamadas de larga distancia sin tener que pagar enormes facturas. La cantidad de personas que se consideran phreakers, contrariamente a lo que sucede con los hackers, es relativamente pequea.

Phreakers
Los que si se consideran phreakers lo hacen para explorar el sistema telefnico, la mayora de la gente, aunque usa el telfono, sabe muy poco acerca de l. Quieren aprender mucho sobre el sistema telefnico y este deseo de conocimiento los impulsa a introducirse arbitrariamente y explorar todos sus mecanismos. La mayora de la gente del submundo informtico no se acerca al sistema telefnico con esa pasin, solo estn interesados en explorar sus debilidades para otros fines.

Phreakers
Las tarjetas telefnicas abrieron la puerta para realizar este tipo de actividades a gran escala, hoy en da no hace falta ningn equipo especial. nicamente un telfono con marcacin por tonos y un nmero de una de esas tarjetas, y con eso se puede llamar a cualquier parte del mundo sin costo alguno.

Telepirata de software
Consiste en la distribucin ilegal de programas protegidos por los derechos de autor, no nos referimos a la copia e intercambio de disquetes que se produce entre conocidos (que es igualmente ilegal), sino a la actividad que se realiza alrededor de los sistemas BBS que se especializan en este tipo de trfico.

Telepirata de software
El acceso a este tipo de servicios se consigue contribuyendo, a travs de un mdem telefnico, con una copia de un programa comercial, este acto delictivo permite a los usuarios copiar, o "cargar", de tres a seis programas que otros hayan aportado. As, por el precio de una sola llamada telefnica, uno puede amontonar una gran cantidad de paquetes de software que en muchas ocasiones, incluso se evita pagar la llamada telefnica.

Telepirata de software
Cabe destacar que al contrario que las dos actividades de hacker y phreaker, no hay ninguna consideracin al margen de "prestigio" o "motivacin" en la telepiratera. En este caso, el cometer los actos basta para "merecer" el ttulo. La telepiratera esta hecha para las masas, al contrario de lo que sucede con los hackers y los phreakers, no requiere ninguna habilidad especial.

Telepirata de software
Cualquiera que tenga un ordenador con mdem y algn software para copiar, dispone de los elementos necesarios para entrar en el mundo de la telepiratera, debido a que no se requiere conocimientos especiales, el papel de los piratas no inspira ningn tipo de admiracin o prestigio en el submundo informtico.

Ataques a la informacin
El objetivo es describir cuales son los mtodos ms comunes que se utilizan actualmente para perpetrar ataques a la seguridad informtica: confidencialidad, integridad y disponibilidad de la informacin; de una organizacin o empresa, y que armas podemos implementar para la defensa, ya que saber cmo nos pueden atacar (y desde dnde), es tan importante como saber con que soluciones contamos para prevenir, detectar y reparar un siniestro de este tipo.

Ataques a la informacin
Los ataques pueden servir a varios objetivos incluyendo fraude, extorsin, robo de informacin, venganza o simplemente el desafo de penetrar un sistema. Esto puede ser realizado por empleados internos que abusan de sus permisos de acceso, o por atacantes externos que acceden remotamente o interceptan el trfico de red.

Ataques a la informacin
Genios informticos, se lanzan desafos para quebrar los programas de seguridad, captar las claves de acceso y utilizar las cuentas para viajar por el ciberespacio, ingresar a redes de datos, sistemas de reservas areas, bancos, o cualquier otra cueva ms o menos peligrosa. Los nuevos mtodos han sido automatizados, por lo que se necesita conocimiento tcnico bsico para realizarlos, el aprendiz tiene acceso a numerosos programas y scripts de hacker bulletin boards y Web sites, donde adems encuentra todas las instrucciones para ejecutar los ataques.

Eavesdropping
Muchas redes son vulnerables al eavesdropping, o la pasiva intercepcin (sin modificacin) del trfico de red. En Internet esto es realizado por packet sniffers, que son programas que monitorean los paquetes de red que estn direccionados a la computadora donde estn instalados. El sniffer puede ser colocado tanto en una estacin de trabajo conectada a red, como a un equipo router o a un gateway de Internet, y esto puede ser realizado por un usuario con legtimo acceso, o por un intruso que ha ingresado por otras vas.

Eavesdropping
Este mtodo es muy utilizado para capturar login IDs y passwords de usuarios, que generalmente viajan claros (sin encriptar) al ingresar a sistemas de acceso remoto (RAS). Tambin son utilizados para capturar nmeros de tarjetas de crdito y direcciones de e-mail entrantes y salientes. El anlisis de trfico puede ser utilizado tambin para determinar relaciones entre organizaciones e individuos.

Snooping
Los ataques de esta categora tienen el mismo objetivo que el sniffing, obtener la informacin sin modificarla, sin embargo los mtodos son diferentes. Adems de interceptar el trfico de red, el atacante ingresa a los documentos, mensajes de email y otra informacin guardada, realizando en la mayora de los casos un downloading de esa informacin a su propia computadora.

Snooping
El snooping puede ser realizado por simple curiosidad, pero tambin es realizado con fines de espionaje y robo de informacin o software. Los casos ms resonantes de este tipo de ataques fueron:
El robo de un archivo con ms de 17000 nmeros de tarjetas de crdito desde una compaa de msica mundialmente famosa. Difusin ilegal de reportes oficiales reservados de las Naciones Unidas, acerca de la violacin de derechos humanos en algunos pases europeos en estado de guerra.

Tampering
Se refiere a la modificacin desautorizada a los datos, o al software instalado en un sistema, incluyendo borrado de archivos. Este tipo de ataques son particularmente serios cuando el que lo realiza ha obtenido derechos de administrador o supervisor, con la capacidad de disparar cualquier comando y por ende alterar o borrar cualquier informacin que puede incluso terminar en la baja total del sistema en forma deliberada.

Tampering
Como siempre, esto puede ser realizado por insiders u outsiders, generalmente con el propsito de fraude o dejar fuera de servicio un competidor. Son innumerables los casos de este tipo de ataques ejecutados por empleados (externos) bancarios que crean falsas cuentas para derivar fondos de otras cuentas, estudiantes que modifican calificaciones de exmenes, o contribuyentes que pagan para que se les anule la deuda por impuestos en el sistema municipal.

Tampering
Mltiples Web sites han sido vctimas del cambio de sus home page por imgenes terroristas o humorsticas, o el reemplazo de versiones de software para download por otros con el mismo nombre pero que incorporan cdigo malicioso (virus, troyanos). La utilizacin de programas troyanos esta dentro de esta categora, y refiere a falsas versiones de un software con el objetivo de averiguar informacin, borrar archivos y hasta tomar control remoto de una computadora a travs de Internet.

Spoofing
Esta tcnica es utilizada para actuar en nombre de otros usuarios, usualmente para realizar tareas de snoofing o tampering. Una forma comn de spoofing, es conseguir el nombre y password de un usuario legtimo para, una vez ingresado al sistema, tomar acciones en nombre de l, como puede ser el envo de falsos emails.

Spoofing
El intruso usualmente utiliza un sistema para obtener informacin e ingresar en otro, y luego utiliza este para entrar en otro, y en otro. Este proceso, llamado looping, tiene la finalidad de evaporar la identificacin y la ubicacin del atacante, el camino tomado desde el origen hasta el destino puede tener muchas estaciones, que exceden obviamente los lmites de un pas.

Spoofing
Otra consecuencia del looping es que una compaa o gobierno pueden suponer que estn siendo atacados por un competidor o una agencia de gobierno extranjera, cuando en realidad estn seguramente siendo atacado por un insider, o por un estudiante a miles de kilmetros de distancia, pero que ha tomado la identidad de otros. El looping hace su deteccin casi imposible, ya que el investigador debe contar con la colaboracin de cada administrador de cada red utilizada en la ruta, que pueden ser de distintas jurisdicciones.

Spoofing
Los protocolos de red tambin son vulnerables al spoofing, con el IP spoofing, el atacante genera paquetes de Internet con una direccin de red falsa en el campo from, pero que es aceptada por el destinatario del paquete. El envo de falsos emails es otra forma de spoofing permitida por las redes, aqu el atacante enva a nombre de otra persona emails con otros objetivos.

Jamming
Este tipo de ataques desactivan o saturan los recursos del sistema, por ejemplo, un atacante puede consumir toda la memoria o espacio en disco disponible, as como enviar tanto trfico a la red que nadie ms puede utilizarla. Muchos ISPs han sufrido bajas temporales del servicio por ataques que explotan el protocolo TCP, aqu el atacante satura el sistema con mensajes que requieren establecer conexin, sin embargo, en vez de proveer la direccin IP del emisor, el mensaje contiene falsas direcciones IP (o sea que este ataque involucra tambin spoofing).

Jamming
El sistema responde al mensaje, pero como no recibe respuesta, acumula buffers con informacin de las conexiones abiertas, no dejando lugar a las conexiones legtimas. Muchos host de Internet han sido dados de baja por el "ping de la muerte", una versin trampa del comando ping, mientras que el ping normal simplemente verifica si un sistema esta enlazado a la red, el ping de la muerte causa el reboot o el apagado instantneo del equipo. Otra accin comn es la de enviar millares de emails sin sentido a todos los usuarios posibles en forma continua, saturando los distintos servidores de destino.

Caballos de Troya
Consiste en introducir dentro de un programa una rutina o conjunto de instrucciones, por supuesto no autorizadas y que la persona que lo ejecuta no conoce, para que dicho programa acte de una forma diferente a como estaba previsto, por ejemplo: formatear el disco duro, modificar un fichero, sacar un mensaje, etc.

Bombas lgicas
Este suele ser el procedimiento de sabotaje mas comnmente utilizado por empleados descontentos y consiste en introducir un programa o rutina que en una fecha determinada destruir y modificar la informacin, o provocar el cuelgue del sistema.

Ingeniera social
Bsicamente trata de convencer a la gente de que haga lo que en realidad no debera, por ejemplo llamar a un usuario hacindose pasar por administrador del sistema y requerirle la password con alguna excusa convincente. Esto es comn cuando en el Centro de Computo los administradores son amigos o conocidos.

Difusin de virus
Si bien es un ataque de tipo tampering, difiere de este porque puede ser ingresado al sistema por un dispositivo externo (disquetes) o travs de la red (emails u otros protocolos) sin intervencin directa del atacante. Dado que el virus tiene como caracterstica propia su auto reproduccin, no necesita de mucha ayuda para propagarse a travs de una LAN o WAN rpidamente, si es que no esta instalada una proteccin antivirus en los servidores, estaciones de trabajo, y los servidores de correo.

Difusin de virus
Existen distintos tipos de virus, como aquellos que infectan archivos ejecutables (.exe, .com, .bat, etc.) y los sectores de boot particin de discos y disquetes. Pero aquellos que causan en estos tiempos ms problemas son los macro virus, que estn ocultos en simples documentos o planilla de clculo, aplicaciones que utiliza cualquier usuario de PC, y cuya difusin se potencia con la posibilidad de su transmisin de un continente a otro a travs de cualquier red o Internet.

Difusin de virus
Cientos de virus son descubiertos mes a mes, y tcnicas ms complejas se desarrollan a una velocidad muy importante a medida que el avance tecnolgico permite la creacin de nuevas puertas de entrada. Por eso es indispensable contar con una herramienta antivirus actualizada y que pueda responder rpidamente ante cada nueva amenaza. El ataque de virus es el ms comn para la mayora de las empresas, que en un gran porcentaje responden afirmativamente cuando se les pregunta si han sido vctimas de algn ataque en los ltimos 5 aos.

Errores de diseo
Muchos sistemas estn expuestos a agujeros de seguridad que son explotados para acceder a archivos, obtener privilegios o realizar sabotaje. Estas vulnerabilidades ocurren por variadas razones, y miles de puertas invisibles han sido descubiertas en aplicaciones de software, sistemas operativos, protocolos de red, browsers de Internet, correo electrnico y toda clase de servicios en LAN o WANs.

Errores de diseo
Sistemas operativos abiertos como Unix tienen agujeros ms conocidos y controlados que aquellos que existen en sistemas operativos cerrados, como Windows NT Server. Constantemente encontramos en Internet avisos de nuevos descubrimientos de problemas de seguridad (y herramientas de hacking que los explotan), por lo que hoy tambin se hace indispensable contar con productos que conocen esas debilidades y pueden diagnosticarlas.

Obtencin de passwords
Este mtodo (cracking), comprende la obtencin "por fuerza bruta" de aquellas claves que permiten ingresar a servidores, aplicaciones, cuentas, etc. Muchas passwords de acceso son obtenidas fcilmente porque involucran el nombre u otro dato familiar del usuario, que adems nunca la cambia. En este caso el ataque se simplifica e involucra algn tiempo de prueba y error, otras veces se realizan ataques sistemticos (incluso con varias computadoras a la vez) con la ayuda de programas especiales y "diccionarios" que prueban millones de posibles claves hasta encontrar el password correcto.

Obtencin de passwords
Es muy frecuente crackear una password explotando agujeros en los algoritmos de encriptacin utilizados, o en la administracin de las claves por parte la empresa. Por ser el uso de passwords la herramienta de seguridad ms cercana a los usuarios, es aqu donde hay que poner nfasis en la parte "humana" con polticas claras y una administracin eficiente. No muchas organizaciones estn exentas de mostrar passwords escritas y pegadas en la base del monitor de sus usuarios, u obtenerlas simplemente preguntando al responsable de cualquier PC, cual es su password.

Eliminar el blanco
Conocido como ping mortal, este tipo de ataque elimina el blanco en lugar de inundarlo con trabajo, utilizando un paquete ping ilcitamente enorme, que hace que el equipo de destino se cuelgue. Muchas implementaciones de routers, la mayora de los Unix y todas las versiones de Windows se muestran vulnerables a este ataque, a pesar de que los fabricantes lanzaron parches de inmediato, hay todava cantidades significativas de hosts "no corregidos" en las redes de produccin.

Eliminar el blanco
TCP/IP permite un tamao mximo de paquete de 64 kilobytes, para lidiar con este paquete, la cola TCP/IP asigna un buffer en memoria de 64 KB. Al recibir una cantidad ilcitamente grande de informacin, como un ping mortal, el buffer del equipo de destino se desborda y el sistema se puede colgar.

Formas de colgar el equipo

Otro mtodo para colgar un equipo es el denominado Land attack, en el que se genera un paquete con direcciones IP y puertos de fuente y destino idnticos. Existen diferentes variantes para este ataque, una de ellas usa idnticas direcciones IP de fuente y destino, pero no nmeros de puertos.

Formas de colgar el equipo

Un ataque caracterstico de los equipos con Windows es el Supernuke (Winnuke), que hace que los equipos que escuchan por el puerto UDP 139 se cuelguen. Netbios es un protocolo integral para todas las versiones en red de Windows, para transportar Netbios por IP, Microsoft ide el Windows Networking (Wins), un esquema que enlaza el trfico Netbios a puertos TCP y UDP 137, 138 y 139. Al enviar a estos puertos fragmentos UDP, se pueden arruinar equipos Windows o disminuir la velocidad del equipo durante un largo tiempo.

Preguntas ?