Beruflich Dokumente
Kultur Dokumente
Actualmente, para Comrade el hackear es, la mayor parte del tiempo, slo un recuerdo.
El viejo amigo de Comrade, neOh, trabaja para una importante compaa de
telecomunicaciones, pero pronto se mudar a Los Angeles por un periodo de tres meses
para hacer un trabajo no cualificado que acept porque el sueldo es mucho mejor que el
de ahora.
CONTRAMEDIDAS:
Los artificios de neOh y Comrade que hemos descrito aqu plantean dos problemas para
las compaas:
El primero es sencillo y familiar: mantngase informado de todas ltimas
versiones de sistemas operativos y aplicaciones de sus proveedores.
Y siempre que haya disponible un nuevo parche, deber instalarse tan pronto
como sea posible; inmediatamente, a menos que hacerlo interrumpiera las
operaciones de la empresa; de no ser as, en cuanto las circunstancias lo
permitan.
Cmo se puede mitigar, entonces, el riesgo de la exposicin?
En mi opinin, la nica solucin viable consiste en utilizar un modelo de
defensa en profundidad. Debemos dar por hecho que nuestros sistemas de
acceso pblico sern vulnerables a ataques de da cero en un momento o en otro.
Las empresas pueden adoptar otra medida efectiva vigilando que la red o los
hosts individuales no registren actividades inusuales o sospechosas.
Con frecuencia la gente de dentro puede suponer una amenaza mayor que los atacantes
que aparecen en los peridicos.
CONTRAMEDIDAS
Entre los controles de seguridad ms relevantes que pueden ser efectivos para prevenir y
detectar los abusos de personal interno, se encuentran los siguientes:
Responsabilidad. Hay dos prcticas comunes que suscitan preocupacin en este
campo. Por un lado, el uso de las llamadas cuentas basadas en privilegios, es
decir, compartidas por mltiples usuarios; y, por otro, la prctica de compartir
informacin de cuentas o contraseas para permitir el acceso cuando un
empleado no est en la oficina o no est disponible.
Entornos abundantes en objetivos para ataques. En la mayora de negocios,
un atacante que pueda encontrar la forma de entrar en las reas de trabajo del
centro puede fcilmente encontrar la forma de acceder a los sistemas.
Administracin de las contraseas: Las contraseas de los empleados,
independientemente de que las cree la compaa o las elijan los usuarios, no
deben seguir un patrn que sea fcil de predecir.
Acceso Fsico: Si los empleados protegieran correctamente sus escritorios,
estaciones de trabajo, porttiles y PDA utilizando contraseas de la BIOS
seguras y cerrando las sesiones, el empleado malicioso necesitara ms tiempo
para conseguir sus objetivos
Cubculos "muertos" y otros puntos de acceso. Si se deja un cubculo vaco cuando
un empleado deja la compaa o se traslada a un lugar diferente, alguien de la
propia empresa podra conectase a travs de los enchufes activos de la red de ese
cubculo para sondear la red al tiempo que protege su identidad.
Personal cesado. Todo empleado al que se haya entregado la carta de despido
debe considerarse como un riesgo potencial.
Instalacin de hardware no autorizado. Un empleado malicioso puede acceder
fcilmente al cubculo de un compaero e instalar un componente de hardware o
software registradores de tecleo para capturar contraseas y otra informacin
privada.
Impedir que se sorteen los procesos de seguridad.
Polticas para los visitantes. Establecer prcticas de seguridad para los
visitantes externos, incluidos los trabajadores de otros edificios de la misma
empresa.
Inventario de software y auditora. Mantener un inventario de todo el software
autorizado instalado o permitido para cada sistema y auditor peridicamente
estos sistemas para comprobar la conformidad.
Sistemas de auditora para la integridad del software. Empleados o personal
interno podran sustituir aplicaciones o archivos del sistema operativo de vital
importancia y utilizarlos para burlar los controles de seguridad.
Exceso de privilegios. En entornos basados en Windows, muchos usuarios
finales acceden a sus cuentas con derechos de administrador local en sus propias
mquinas.
Moraleja: si est a cargo de la seguridad de la informacin en un colegio, grupo de trabajo, empresa o
cualquier otra identidad, debe contar con que algunos adversarios malintencionados, incluidas
personas de la misma organizacin, estn buscando una pequea grieta en la pared, el punto ms
dbil de la cadena de seguridad para romper la red. No espere que todo el mundo vaya a respetar las
reglas. Tome medidas rentables para evitar las potenciales intrusiones, pero no olvide seguir
buscando algo que haya podido pasar por alto. Hay quien cuenta con sus descuidos.
POLICAS Y LADRONES
Matt y Costa no planeaban un ataque a Boeing Aircraft; simplemente se les cruz en el
camino.
Se conocieron durante un ao ms o menos a travs de telfono y chat. Despus de
aliarse, pareca que Matt y Costa se arrastraban el uno al otro por el camino equivocado
del pirateo de los sistemas telefnicos, una actividad que se conoce como "phreaking".
Reprogramaron unos telfonos, as Matt y Costa podan hacer las llamadas telefnicas
que quisieran a cualquier parte del mundo.
Matt descubri cmo hacer para realizar llamadas y que se cargaran a una cooperativa
de crditos. Continuaron entrenndose e introducindose a sus ordenadores ilegalmente,
esto hicieron en un hotel para conseguir unas reservaciones.
Boeing Aircraft estaba celebrando un seminario de seguridad informtica, y Don, les
indic lo fcil y vulnerable que era su sistema. El segundo da del seminario se dieron
cuenta de que algo andaba mal en el sistema, Don envi a un compaero para que
echara un vistazo y l se dio cuenta de que las contraseas estaban siendo craqueadas.
Don pidi a su compaero que le enviara por correo lo encontrado y se sorprendi al
darse cuenta que eran contraseas y nombres de usuario de jueces de Seatle.
Don llam al tribunal del distrito de usa y pidi que le pasaran con el administrador del
sistema y l no crea que hayan entrado a su sistema, hasta que le dieron la contrasea
de superusuario para que le crea.
Cuando regresaron al aula del seminario, Don les dijo que iban a hacer prcticas de
informacin en la vida real.
Don coloc porttiles en los circuitos para almacenar todo lo que se teclee, estaban
esperando a que los atacantes ingresaran en el sistema y registraran la cuenta, y lo
hicieron. La compaa telefnica los rastre hasta sus casas, con todas las pruebas en su
contra decidieron primeramente vigilarlos durante un tiempo para saber a que sitios
haban logrado entrar.
Matt y Costa se declararon culpables, ya que prcticamente los atraparon con las manos
en la masa, sin embargo como los daos que haban causado en Boeing no eran muy
grandes, slo les dieron un tirn de orejas. Despus descubrieron que adems de la
intrusin informtica, tambin eran responsables de fraudes telefnicos y los metieron a
la crcel a los dos. Una vez en la crcel, idearon un mecanismo para comunicarse entre
ellos y planear lo que iban a declarar en los interrogatorios, igual fueron condenados y
pasaron una temporada en prisin.
CONTRAMEDIDAS
CONTRAMEDIDAS
La principal arma de Adrin era su astucia para encontrar servidores proxy mal
configurados. Recordemos que una de las funciones de un servidor proxy es
permitir que los usuarios del lado de confianza de la red puedan acceder a los
recursos de Internet del lado que no es de confianza.
UN JUEGO ALARMANTE
Dustin Dykes, lleg a la sala de conferencias de una empresa farmacutica, que
llamaremos "Biotech", para negociar la realizacin de una auditora de seguridad, se
encontraba de buen humor, ansiaba el desafo.
En la reunin inicial con Biotech, se inform al equipo Callisma que la empresa quera
recibir todos los ataques posibles que un verdadero adversario pudiera intentar: desde
CONTRAMEDIDAS
Mudge identific una regla predeterminada del cortafuegos que permita las
conexiones entrantes a cualquier puerto TCP o UDP superior a de 1024 desde
cualquier paquete que tuviera un puerto origen de 53, que es el puerto para
DNS. La contraofensiva consiste en revisar cuidadosamente todas las reglas de
los cortafuegos para garantizar que cumplen la poltica de seguridad de la
empresa.
Despus de que Mudge y sus compaeros penetraran en el sistema, instalaron
programas espas para capturar los nombres de usuario y las contraseas. Una
contramedida eficaz sera utilizar programas basados en protocolos
criptogrficos, como es ssh.
El equipo de lOpht craque con facilidad las contraseas de varios buzones de
mensajes de voz pertenecientes a directores de la empresa objetivo, los cuales
utilizaban las contraseas predeterminadas, del tipo 1111, 1234 o el nmero de la
extensin telefnica. La contramedida obvia es exigir la creacin de contraseas
razonablemente seguras en el sistema de contestador automtico.
Dustin pudo entrar con total libertad hasta la sala de conferencias de Biotech
porque estaba situada en el rea no restringida. En la sala haba enchufes de red
activos que conectaban a la red interna de la empresa. Las compaas deben
deshabilitar estos enchufes de red hasta que sean necesarios o segregar la red
para que no se pueda acceder a la red interna desde reas pblicas. Otra
posibilidad sera un sistema frontal de autentificacin que solicite un nombre de
usuario y contrasea antes de permitir el acceso a un usuario.
Una forma de evitar que los intrusos entren en el edificio detrs de los
empleados es modificar lo que los psiclogos sociales llaman la norma de
educacin. Mediante una formacin adecuada, el personal de la empresa debe
superar la tensin que muchos sentimos al dar el alto a otra persona.
*Esta historia ilustra que algunas veces, incluso una persona que no es hacker puede
penetrar en un banco. No son buenas noticias ni para los bancos, ni para ninguno de
nosotros.
Estonia es mucho ms moderna de lo que yo imaginaba, como supe por Juhan, un
hacker que vive all, l explica que a pesar de ser un pas pequeo, en cuestin de
tecnologa bancaria maneja la banca electrnica y las transferencias por internet.
Juhan se encontr un da con a pgina web de un banco y empez a explorar y pronto
craque las contraseas y entr, sin embargo, tuvo miedo de ser descubierto, as que
comunic a sus superiores y stos al banco, y al contrario de lo que Juhan pensaba, en
lugar de castigarlo, el banco le pidi que siguiera investigando para conocer sus fallas.
*Gabriel habla francs como lengua materna y vive en un pueblo de Canad tan
pequeo. Pero, cmo llega un chico de una zona rural de Canad a penetrar en un
banco de un estado del sur de Estados Unidos, justo en el centro de Dixie?
Cuando Gabriel, vagando por la red, encontr detalles sobre las direcciones IP del banco
de Dixie sigui el rastro y descubri que no haba tropezado con el banco de una
pequea ciudad, sino que era un banco con abundantes contactos en el pas y en el
extranjero.
La intrusin en el banco, dice Gabriel, fue tan fcil que result "muy tonto". El banco
haba contratado a un equipo de consultores de seguridad que antes de irse dej un
informe que inclua una lista de todas las vulnerabilidades de seguridad que el equipo
haba encontrado y que serva de plano para explotar el resto de la red.
Gabriel a pesar de tener todas las oportunidades, nunca puso la mano en la caja.
CONTRAMEDIDAS
El sitio Web del banco online debera haber solicitado que todos los
desarrolladores de aplicaciones Web aplicaran las prcticas fundamentales de
programacin segura o haber exigido una auditora de todo el cdigo
introducido. La mejor prctica es limitar la cantidad de informacin que
introduce el usuario y que se pasa a un script del lado del servidor.
Una vigilancia relajada de la red y una escasa seguridad de las contraseas en el
servidor Citrix fueron los errores ms graves en este caso y, muy probablemente,
habran evitado que Gabriel se paseara por su red, instalando registradores de
tecleo, siguiendo a otros usuarios autorizados e instalando programas troyanos.
Una lista parcial de contramedidas incluira las siguientes:
Comprobar en todas las cuentas cundo se cambi por ltima vez cada
contrasea de las cuentas de servicios del sistema, como "TSINternetUser", no
asignadas al personal; los derechos de administrador no autorizados; los
derechos de grupo no autorizados y la fecha del ltimo registro en el sistema.
Estas comprobaciones peridicas pueden ayudar a identificar un incidente en
seguridad.
Restrinja los registros de usuario interactivos a las horas de trabajo.
Habilite auditorias al iniciar y al cerrar la sesin en cualquier sistema al que se
pueda acceder de forma inalmbrica, por acceso telefnico por Internet o
extranet.
Implemente programas como el SpyCop (disponible en www.spycop.com) para
detectar registradores de tecleo no autorizados.
contrasea correcta, que le dio acceso al servidor SQL con los privilegios de
administrador de la base de datos.
A pesar de los triunfos menores que haba obtenido el ao anterior, Erik segua sin tener
el cdigo fuente del producto ni el generador de claves.
Por fin encontr un servidor Web en un puerto alto y pudo adivinar una combinacin de
usuario y contrasea que abri un men de opciones. Una de ellas era mirar la
informacin de los clientes. Otra era generar claves de licencias para el producto de la
empresa. De esta forma Erik tuvo acceso a toda la informacin de la empresa, sin
embargo Erik estaba comenzando a descargar el cdigo fuente del anhelado programa,
cuando me di cuenta de que se haba interrumpido la descarga. Mir en el directorio y
el archivo haba desaparecido. Comenc a buscar en algunos archivos de registro y en
las fechas de modificacin y me di cuenta de que el Director estaba en el servidor en
ese momento mirando los archivos de registros. Saba que yo estaba haciendo algo.
Podemos decir que me haba pillado.
A pesar del contratiempo, como un mes ms tarde volvi a intentarlo, se conect al
ordenador del Director para echar otro vistazo en el registro del chat para ver si haba
alguna nota sobre intrusiones en la empresa. No encontr referencias a hackers ni a
ningn intento no autorizado de descarga.
Fragmento a fragmento fue descargando todo el archivo del cdigo fuente, rebotando
las transmisiones a travs de un servidor intermediario localizado en un pas extranjero.
Lo que haba descargado con seguridad, por fin, en su ordenador era el cdigo fuente
del software del servidor, pero todava no estaba en una forma que l pudiera abrir y
estudiar.
Con la ayuda de un programa llamado PK Crack, Erik tena, finalmente, el cdigo
fuente que tanto haba perseguido.
En la lejana Australia vive otro de esos caballeros honrados que son respetados
profesionales de la seguridad durante el da y que por la noche se transforman en
hackers negros que afilan las destrezas que pagan sus hipotecas perpetrando intrusiones
en las empresas de software ms fuertes del planeta, Robert.
Un amigo me llam para decirme: "Quiero vender pomo sado duro a miles de
personas. Robert lo pens durante un rato y decidi averiguar qu implicara el trabajo.
Robert iba a ayudar a crear spam, pero sin enviar miles de correos preguntando si
alguna vez se haba interesado en esas cosas.
Consigui el software para las listas de correo pero no tena las listas.
Robert captur las listas de sitios en la web de sadomasoquismo. La eficacia de la
campaa fue increble. Cuando se enva spam a la gente que sabes que "le gusta mucho
esta basura", la tasa de respuesta alcanza rcords, obteniendo una respuesta entre el 30 o
40%, lo cual es un xito rotundo tratndose de un spam.
CONTRAMEDIDAS
A pesar de que se trata de dos ataques muy diferentes, es revelador observar cuntas
vulnerabilidades fueron la clave de los triunfos de ambos hackers y, de ah, cuntas
contramedidas afectan a ambos ataques.
Los cortafuegos deben configurarse de modo que slo permitan el acceso a los
servicios esenciales, en funcin de las necesidades de cada actividad.
Adems, piense en la posibilidad de utilizar un "cortafuegos con inspeccin de
estado
Adems, cuando sea conveniente, piense en la posibilidad de controlar el acceso
a la VPN basada en la direccin IP del cliente.
Elabore meticulosamente las reglas del cortafuegos tanto para el trfico entrante, como
saliente de los servicios que no sean esenciales para la actividad, pero, adems, revise
regularmente las reglas del cortafuegos y los registros para detectar si ha habido
cambios no autorizados o intentos de violacin de la seguridad.
Conocer que se est produciendo una incidencia de seguridad puede ayudar a
controlar los daos. Active auditoras del sistema operativo para identificar las
posibles violaciones de seguridad.
Adems de otras sugerencias comunes de gestin de las contraseas que ya
hemos descrito anteriormente, el xito de los atacantes de este captulo destaca
otros puntos importantes. Erik coment que pudo predecir cmo creaba la
empresa las contraseas basndose en las contraseas que ya haba craqueado. Si
su empresa exige a los empleados que sigan unas pautas estandarizadas y
predecibles para crear sus contraseas, debe tener claro que est enviando
invitaciones de puertas abiertas a los hackers.
Proteccin de recursos compartidos.
Evitar que se adivinen los DNS
Proteccin de los servidores Microsoft SQL
Proteccin de archivos confidenciales.
Proteccin de las copias de seguridad.
EN EL CONTINENTE
La historia est ambientada en Londres. Louis y su amigo Brock, aceptaron realizar un
proyecto juntos. Su objetivo sera una empresa ubicada en un pas de Europa, una
empresa de seguridad que transportaba grandes cantidades de dinero y trasladaba presos
de la crcel al juzgado y de una crcel a otra.
Los chicos analizaron la red con la ayuda de una herramienta, sta les notific que el
servidor de correo estaba un salto detrs del cortafuegos.
Por medio de telnet consiguieron acceso al dispositivo 3COM. Ahora que tenan acceso
a la consola 3 COM, miraron en los informes de configuracin, incluidas las direcciones
IP asignadas de la unidad y los protocolos que se utilizaban para la conectividad de la
red privada virtual.
Los chicos ya estaban un poco desanimados porque no podan pasar del 3COM, por lo
que fueron a tomar unas copas y pensar en hiptesis, las hiptesis que formularon los
chicos aquella noche resultaron bastante acertadas. Louis observa acerca de este punto
lo que los buenos hackers parecen tener:
Es muy difcil de explicar por qu uno llega a esa impresin. Surge de la experiencia y
de haber observado cmo se configuran lo sistemas.
La maana siguiente cuando llegaron a la oficina, se sentaron y miraron el registro de la
consola en el dispositivo 3 COM, esperando a que la gente se conectara. Cada vez que
alguien se conectaba, los chicos realizaban, tan pronto como podan, un sondeo de los
puertos respecto a la direccin IP que estableca la conexin entrante.
Estuvieron esperando a encontrar un puerto abierto, entonces se conect una mquina.
Realizamos un sondeo de puertos y encontramos un puerto abierto que normalmente se
utiliza para PC Anywhere.
Habamos conectado correctamente con el cliente que estaba, a su vez, conectado con el
dispositivo 3COM, consiguieron la informacin que buscaban y la traspasaron a su
computador. Luego utilizaron el comando echo para cargar un script de Pgina Activa
de Servidor.
Al fin consiguieron el control, absoluto del negocio.
Louis y Brock no se hicieron ricos mediante el poder que tenan en sus manos y no
enviaron rdenes para liberar ni trasladar a ningn preso. Sino que enviaron a la
empresa un informe completo de lo que haban descubierto.
CONTRAMEDIDAS
Al igual que en muchas de las historias narradas en este libro, los atacantes no
encontraron muchas deficiencias de seguridad en la empresa que haban marcado como
objetivo, sin embargo, las pocas que encontraron fueron suficientes para hacerse con el
dominio absoluto de los sistemas informticos de la empresa que eran fundamentales
para sus operaciones. A continuacin encontrar algunos consejos sobre los que merece
la pena reflexionar.
CONTRAMEDIDAS
Para mitigar los ataques de ingeniera social se requiere una serie de esfuerzos
coordinados:
Desarrollar protocolos de seguridad claros y concisos que se apliquen
sistemticamente en toda la organizacin.
Desarrollar planes de formacin para concienciar sobre la seguridad.
Desarrollar normas sencillas que definan qu informacin es confidencial.
Desarrollar una norma sencilla que establezca que siempre que alguien solicite
una accin restringida, habr que comprobar la identidad del solicitante de
acuerdo con la poltica de la empresa.
Desarrollar una poltica de clasificacin de datos
Formar a los empleados para que sepan oponer resistencia a los ataques de ingeniera social.
Poner a prueba la susceptibilidad de los empleados a los ataques de ingeniera social mediante
una evaluacin de la seguridad.
Si quiere conocer mejor cmo manipulan los ingenieros sociales a sus vctimas y cmo
consiguen que la gente cambie del estado racional al emocional... escuche a los nios.