1 2006 universidad de las américas - escuela de ingeniería - seguridad informática – dr. juan...

1 2006 Universidad de Las Américas - Escuela de Ingeniería - Seguridad Informática – Dr. Juan José Aranda Aboy

ACI – 425ACI – 425SEGURIDAD INFORMÁTICASEGURIDAD INFORMÁTICA

Unidad 5:Herramientas y Métodos de Hacking


Objetivos EspecíficosObjetivos Específicos

Conocer las diferencias técnicas para detección de intrusos y aplicarlas en demostraciones practicas y en casos de la vida real.


ContenidosContenidos

• Conceptos preliminares.• Técnicas de detección de intrusos.• Herramientas para detección de

intrusos.• Herramientas y métodos de hacking basados en ambientes Open Source.


Técnicas de los hackersTécnicas de los hackers

• Motivaciones• Técnicas históricas• Técnicas avanzadas• Identificación de código mal

intencionado• Identificación de los métodos de los

hackers sin objetivo específico• Identificación de los métodos de los

hackers con objetivo específico


HackerHacker

• Individuo que irrumpe en las computadoras.• Los estudios han encontrado que suelen ser:

– Sexo masculino– Edad entre 16 y 35 años– Solitarios– Inteligentes– Competentes técnicamente

• Tienen conocimientos acerca de las redes y de las computadoras, así como de su funcionamiento.

• Algunos alcanzan a tener elevados conocimientos sobre los protocolos y sobre como utilizarlos para que los sistemas actúen de ciertas formas.


MotivacionesMotivaciones

• Son las componentes claves para comprender a los hackers, pues permiten identificar qué propósito hay detrás de un intento de intrusión.– Reto: Era la motivación original, dadas las dificultades

inherentes. Se asocia frecuentemente con hackers sin objetivos específicos: personas que invaden sistemas por “diversión”, sin importarles realmente qué sistemas comprometen.

– Codicia: Muy antigua para actos delictivos. Incluye el deseo de ganar dinero, bienes, servicios ó información. Sus objetivos son sitios que permitan obtener dinero (bancos, comercio electrónico), software ó información que pueda ser vendida.

– Propósito mal intencionado: El objetivo es causar daño: Vandalismo. Buscan de manera activa formas para dañar a una organización ó sitio específico. Tienden a estar enfocados a propósitos particulares: denegar servicios, modificar sitios Web ó correo electrónico, etc.


Técnicas históricasTécnicas históricas

• Compartir información de forma abierta.

• Mala configuración• Acceso remoto• Contraseñas deficientes• Ingeniería Social• Fallas de programación

– Desbordamientos de búfer

• Denegación de servicio


Compartir información de forma Compartir información de forma abiertaabierta

• El propósito original de Internet fue compartir información de manera abierta para permitir colaboración entre instituciones dedicadas a la investigación.

• En consecuencia, los sistemas se configuraban con este objetivo.

• En UNIX se utiliza el sistema de archivos en red (Network File System – NFS), que permite que un computador utilice archivos almacenados en otro.

• Esta vía fue la primera utilizada por los hackers para obtener acceso a la información.

• Actualmente se considera que compartir archivos mediante NFS es un serio error de configuración, en lugar de una vulnerabilidad.


Acceso remotoAcceso remoto

• El uso del comando para acceso remoto sin contraseña rlogin permite a los usuarios tener acceso a múltiples sistemas sin introducir nuevamente sus claves.

• Para los hackers, encontrar este error de configuración es excelente, ya que solamente necesitan obtener una cuenta de usuario ó de administrador para penetrar el sistema.


Contraseñas deficientesContraseñas deficientes

• Probablemente es el método utilizado por los hackers con mayor frecuencia para introducirse en los sistemas, debido a que las contraseñas (passwords) son aún la manera mas común de autentificación de los usuarios.

• Sabemos que las contraseñas cortas pueden adivinarse empleando fuerza bruta.

• Otro tipo de contraseña débil es una palabra fácil de adivinar, como pueden ser las del diccionario.


Ingeniería socialIngeniería social

• Medios no técnicos para obtener información que permita el acceso autorizado a los sistemas.

• En vez de utilizar vulnerabilidades y explotar los scripts, el hacker hace uso de la naturaleza humana.

• Proporciona el potencial para gran parte de las penetraciones completas a un objetivo, pero toma tiempo y talento.

• Generalmente es utilizada sólo por hackers que tienen como objetivo una organización específica.


Fallas de programaciónFallas de programación

Incluyen:• Dejar una puerta trasera (backdoor) en

un sistema.• Fallos en verificación de campos de

entrada obtenidos a partir de información entregada por los usuarios en sistemas Web.

• Desbordamientos de búfer.• Etc.


Desbordamientos de búferDesbordamientos de búfer

• Consiste en tratar de colocar demasiada información dentro de un espacio limitado de la memoria de un computador.

• Aparecen como fallas de las aplicaciones que no verifican la cantidad de datos que están copiando.

• Son difíciles de descubrir. • Demandan habilidad para encontrar y explotarles.• También pueden emplearse de manera local por un

usuario que desee aumentar sus privilegios de acceso.

• Facilitan que los hackers ejecuten cualquier comando en el sistema operativo, por lo que pueden crearse otros medios (scripts) para tener acceso al sistema objetivo.


Denegación de servicioDenegación de servicio

• Actos mal intencionados para impedir que los usuarios legítimos tengan acceso a un sistema, red, aplicación ó información.

• Pueden tener muchas formas y ser lanzados desde sistemas simples ó múltiples.

• No pueden ser identificados ni detenidos si no se logra identificar la fuente.

• En la mayoría de los casos, el atacante no intenta obtener acceso al sistema objetivo, por lo que el ataque se origina desde direcciones obtenidas mediante fisgoneo ó por falsificación, ya que el protocolo IP tiene una falla en su esquema de direccionamiento: no verifica la dirección fuente cuando se crea el paquete.


DoS desde fuente simpleDoS desde fuente simple

• Saturación de SYN: Muy conocido. El sistema fuente envía gran número de paquetes TCP SYN, usado para establecer una nueva conexión. El objetivo responde mediante TCP SYN ACK. Puede solucionarse mediante un timer que hace expirar conexiones pendientes al transcurrir un cierto tiempo.

• Ping de la muerte: Si es enviado un paquete ICMP Echo-Request con muchos datos al sistema objetivo, éste se derrumba por desbordamiento de la pila de datos.


DoS de servicios distribuidosDoS de servicios distribuidos

• Se originan desde un gran número de sistemas, los cuales pueden actuar coordinadamente contra un único objetivo.

• Suelen ser controlados por un hacker desde un único sistema maestro.

• Se emplean sistemas esclavos (zombis) para realizar directamente el ataque.

• El ataque real puede ser saturación de paquetes UDP, saturación de TCP SYN ó tráfico ICMP.

• Las herramientas utilizadas pueden incluso crear direcciones IP fuente aleatorias para los paquetes de ataque, con lo que éstos son muy difíciles de encontrar.

• Algunas herramientas sofisticadas realizan ataques Smurf: envío de paquete ping hacia la dirección de emisión de una red grande.


Técnicas avanzadasTécnicas avanzadas

• Muchos ataques efectuados en la actualidad son realizados por scripts boys: individuos que encuentran guiones de explotación en Internet y los disparan contra cualquier sistema que se encuentra. Estas son técnicas simples de ataque que no requieren de dirección ó conocimiento detallado.

• Sin embargo, existen varias técnicas avanzadas que requieren un conocimiento mas detallado de sistemas, redes y sistemas objetivo:– Rastreo de redes conmutadas– Falseamiento de IP


Rastreo de redes conmutadasRastreo de redes conmutadas

• Los hackers usan rastreadores para recabar contraseñas y otra información relacionada con los sistemas de las redes después de comprometerlas.

• El rastreador reúne información colocando la interfaz de red del equipo comprometido en modo promiscuo.

• Para rastrear tráfico en ambiente conmutado debe hacerse una entre:– Convencer al conmutador de que el tráfico

interesante debe enviarse al rastreador.– Provocar que el conmutador envíe todo el tráfico

a todos los puertos.


Redireccionamiento del tráficoRedireccionamiento del tráficoLos métodos mas utilizados son:• Falseamiento del ARP: El rastreador responde a la

solicitud ARP antes que el sistema real. Para ser efectivo, deberá remitirse todo el tráfico hacia el destino correcto pues si no lo hace, provocaría DoS. Sólo funciona en la subred local.

• Duplicación del MAC: El rastreador debe cambiar su dirección MAC para que sea igual a la del sistema objetivo.

• Falseamiento del DNS: El rastreador envía respuestas a las solicitudes DNS del sistema de envío. Proporciona su dirección IP como la legítima del sistema que está siendo solicitado. Para que el ataque tenga éxito, el rastreador deberá ver todas las solicitudes DNS y responder a ellas antes de que lo haga el sistema real, así como también deberá remitir todo el tráfico hacia el sistema real, por lo que debe estar ubicado en la ruta de red desde el sistema de envío hacia el servidor DNS ó en la propia subred local junto con el sistema de envío.


Redireccionamiento … (2)Redireccionamiento … (2)

• Enviar todo el tráfico a todos los puertos se logra haciendo que el conmutador (switch) actúe como concentrador, por lo que el hacker podrá lograr que el rastreador realice su función. Para iniciar este tipo de ataque hay que estar vinculado al conmutador en cuestión.

• Para consumar ataques de falseamiento del ARP, duplicación ó saturación, el hacker debería estar directamente conectado al conmutador que está atacando, lo que significa que deberá disponer de un sistema en la red local, por lo que las posibilidades son: – empleado de la organización ó – alguien que accedió primero a un sistema, lo comprometió

y utiliza esta entrada para instalar el software de rastreo.


Falseamiento de IPFalseamiento de IP

• Mediante este ataque puede engañarse a un sistema de cómputo para que piense que negocia con otro.

• Es apropiado contra sistemas que tienen configurado rlogin ó rsh.

• El primer paso del hacker es identificar su objetivo.

• Después intentará acceder como usuario legítimo del sistema.

• Una vez admitido, el hacker tratará de permitirse accesos mas útiles.


Métodos – sin objetivos específicos Métodos – sin objetivos específicos

• Los hackers sin objetivo específico buscan cualquier sistema que puedan comprometer.

• Su nivel de habilidad varía desde principiantes hasta muy capacitados.

• Su motivación principal es el reto de acceder a sistemas.

• Generalmente seleccionan su objetivo al azar.• Pueden realizar el reconocimiento de muchas

formas. Incluso, algunos inician ataques sin determinar si los sistemas objetivo se encuentran realmente en la red.

• Por lo general, trabajan desde sistemas que ya tienen comprometidos previamente, para que el rastro no conduzca directamente a ellos.


Reconocimiento de InternetReconocimiento de Internet

• Suelen realizar un rastreo sigiloso contra un intervalo de direcciones para identificar sistemas susceptibles de ser atacados.

• También pueden identificarse los servicios que ofrece el sistema.

• Comúnmente se realiza en varios pasos:1. Selección del nombre de dominio e intento de

transferencia de zona de DNS contra él, con lo que se enumeran todos los sistemas y direcciones IP que conoce dicho DNS.

2. Ejecución de una herramienta que permita identificar el sistema operativo de los objetivos potenciales.

3. Rastreo sigiloso para identificar servicios activos en los objetivos.

4. Emplear la lista final para los ataques reales.


Otros reconocimientosOtros reconocimientos

• Telefónico (Wardialing): Se identifica que sistemas tienen modem y que responden a llamadas entrantes. Existen herramientas que permiten tomar el control de los computadores que responden.

• Inalámbrico (Warchalking): Se hace una búsqueda de redes inalámbricas susceptibles de penetración. Se registra la ubicación mediante GPS. Estas redes pueden emplearse para atacar otros sitios protegiendo al hacker de ser rastreado.


Métodos de ataqueMétodos de ataque

• Generalmente estos hackers disponen de una ó muy pocas oportunidades de explotación de los sistemas, por lo que buscan vulnerabilidades acordes con sus disponibilidades de explotación.

• Comúnmente atacan sólo un sistema por vez. Los mas sofisticados usan herramientas para identificar muchos sistemas vulnerables y luego escriben scripts que les permiten explotar todos estos sistemas en poco tiempo.

• Una vez comprometido el sistema, colocarán puertas traseras (denominadas rootkits) para poder acceder posteriormente.

• Algunos clausuran la vulnerabilidad que les permitió acceder al sistema para que otros hackers no puedan “entrar en sus sistemas”.

• Por lo regular copian el archivo de contraseñas, así como habilitan un rastreador de las mismas.


Métodos – con objetivos específicos Métodos – con objetivos específicos

• Dado que su objetivo es penetrar ó dañar una organización específica motivados por algo que posee dicha entidad, el reconocimiento toma diversas formas: de dirección, de número telefónico, del sistema, de negocio e incluso físico.


Métodos de ataqueMétodos de ataque

• Electrónicos• Físicos


TÉCNICAS DE RASTREOS Y TÉCNICAS DE RASTREOS Y EXPLORACIÓNEXPLORACIÓN

• ¿Que es seguir el rastro a una organización?Seguir el rastro en Internet.Determinación del ámbito de actividades de la víctima (empresa).Enumeración de la redInterrogaciones DNSReconocimiento de la red y su topología previo al ataqueEjercicios prácticos de rastreo.Interpretación de resultados y fisuras.Contramedidas a adoptar ante las fisuras.


EXPLORACIÓN DEL OBJETIVOEXPLORACIÓN DEL OBJETIVO

• Barridos ping.• Consultas ICMP.

Exploración de puertos.Tipos de escaneos a realizar sobre el objetivo.Detección del sistema operativo, versiones y servicios en ejecución.Ejercicios prácticos y de análisis.Interpretación de resultados y fisuras.Medidas a adoptar ante las fisuras.Herramientas automáticas de descubrimiento y contramedidas.


TÉCNICAS DE HACKING CONTRA LOS SISTEMAS YTÉCNICAS DE HACKING CONTRA LOS SISTEMAS YCONTRAMEDIDASCONTRAMEDIDAS

• IntroducciónFirewalls y routersTécnicas de firewalking (atravesar cortafuegos)Métodos para engañar a los ficheros .log en la ofensiva.Como los intrusos se hacen invisibles en Internet.Técnicas de suplantación de IP atacantes en Internet (looping spoffing ip)Medidas a implementar de prevención.Obtención de exploits (el problema buffer overflow).Compilación y utilización de exploits sobre vulnerabilidades.Ataques distribuidos desde Internet.Entrando en los sistemas y la escalada de privilegios.Detección de la utilización de exploits contra nuestra red.Métodos de descarga de herramientas de prospección en el servidorcomprometidoAnulando la efectividad de los antivirus (generación de herramientasindetectables)Como se recaba información una vez en los sistemas.Medidas de seguridad a implementar.Alteración, falsificación e intoxicación de ficheros .log.Establecimiento de puertas traseras (backdoors).Metodología para la detección de puertas traseras.


• ENUMERACIÓN

Enumeración Windows NT/2000/2003Buscando Usuarios validos y recursos accesibles.Ataques contra contraseñas.


• AUDITORIA SOBRE POLÍTICAS DE USUARIOS Y CONTRASEÑAS

Análisis del problema en la organización.Métodos de descifrado y ruptura de contraseñas.Herramientas para la auditoria de contraseñas.Herramientas para ruptura de contraseñas y métodos de cracking decontraseñasImplementación de políticas confiables


• HERRAMIENTAS PARA AUDITORIA DE LA SEGURIDAD DE LA RED DE LA EMPRESA, MONITORIZADORES DE TRÁFICO Y DETECTORES DE INTRUSOS

Introducción a los escaneadores de vulnerabilidades.Configuración de las plantillas de auditoria.Práctica realización de auditorias sobres sistemas internos.Práctica realización de auditorias sobres sistemas cara a Internet.Generación de informes.Introducción a Sniffers.Instalación y uso de Sniffers.Configuración de filtros de monitorización.Análisis y monitorización de segmentos críticos de red.Interpretación de los paquetes monitorizados.


• HERRAMIENTAS DE CONTRAMEDIDAS Y HACKING QUE SE UTILIZAN DURANTE EL CURSO

Herramientas on line.Herramientas de exploración.Herramientas de enumeración.Herramientas de footprinting (rastreado).Herramientas para conseguir accesos.Herramientas de penetración y puertas traseras.Ocultación de huellas.Herramientas de auditoria de redes y ordenadores.


PreguntasPreguntas


Referencias en InternetReferencias en Internet(Conjunto mínimo en español)(Conjunto mínimo en español)

• SEGURIDAD EN UNIX Y REDES• Red Hat Enterprise Linux 4 - Manual de

seguridad• Sistema de Prevención de Intrusos• Sistema de detección de intrusos• Sistemas de detección de intrusos (otro

enlace)• Sistemas de Detección de intrusos y

Snort


Referencias de apoyo en InternetReferencias de apoyo en Internet

Sitios útiles:• Seguridad de Puertos TCP/IP en

Soporte técnico de NewPlanet• ADSL Ayuda

Otras referencias (mínimo en Inglés):

• Information Security Learning Guides• Linux Security Cookbook• The HoneyNet Project


Bibliografía en TextosBibliografía en Textos

• Eric Maiwald “Fundamentos de Seguridad de Redes”.

• William Stalings “Fundamentos de Seguridad en Redes: Aplicaciones y Estándares”.

• Richard Bejtlich “El Tao De La Monitorización De La Seguridad De Redes” Prentice Hall 1ra ed. 2005, ISBN: 8420546003

1 2006 universidad de las américas - escuela de ingeniería - seguridad informática – dr. juan...

Documents