sábado, 3 de septiembre de 2011

Ataques informáticos y cómo evitarlos

Por: Fulcanelli
 
Los ataques a la seguridad cada día sobrepasan todas las estimaciones, por tanto es importante que los usuarios medios o llamense usuarios comunes (no comparto este último termino),  tengan en cuenta que incluso en ocasiones ellos mismos se vean afectados de alguna forma; usted podría decir algo así como: "eso lo dejo en manos de otros", "que los expertos se hagan cargo", "eso es noticia para otros", etc. pues bien, de acuerdo, pero si usted ha escuchado alguna vez que tal o cual ataque se ha realizado a una red social, o que un portal de compra-venta muy conocido ha quedado fuera de servicio y empieza a escuchar términos o frases sobre estos ataques y quiere saber qué quieren decir o qué significan, simplemente le invito a que motive esa curiosidad y vaya más allá, pues seguramente usted utiliza al menos una red social, ha hecho un par de compras por internet, o labora en una compañia con presencia en internet, o labora desde casa por medio de internet o simplemente tiene algún tipo de conexión de internet en su casa o centro de estudios, entonces no cree que ya es hora de dejar de a un lado falsos mitos(1) y rebasar el límite de usuario "común". 

A continuación un resumen de algunos ataques informáticos: 
  • Ingeniera social.- Es una técnica social que busca obtener el acceso no autorizado a un sisitema informático y su información, aprovechándose de la inocencia e ingenuidad de ciertos usuarios para manipularlos. La ingeniería social puede ser un arma potencial para penetrar completamente un sistema objetivo, pero toma tiempo y sobre todo talento, además es utilizada por piratas informáticos que tienen por objetivo una organización específica. La principal arma de los piratas informáticos que utilizan esta técnica, es la capacidad de mentir.
  • Desbordamiento de búfer.- Estos ataques también son conocidos como saturación de búfer, están diseñados para ejecutar un código arbitrario en un programa al enviar demasiada información, mayor que el que puede soportar la memoria de un computador. La información ingresada en una aplicación se almacena en la memoria de acceso aleatorio en una zona que se conoce como búfer. Por ejemplo, si se crea una variable que tenga 10 bytes y se intenta meter 11 bytes, el onceavo byte se sitúa en el espacio de memoria inmediatamente a continuación del décimo byte, y si se intenta meter más información extra en esa variable, finalmente se topará con algún espacio de memoria que sea importante para el funcionamiento del sistema. Las instrucciones y la información de un programa en ejecución se almacenan temporalmente en forma adyacente a la memoria, en una zona llamada pila o stack (en inglés), la información ubicada después del búfer contiene una dirección de retorno denominada puntero de instrucción, que le permite al programa continuar su tiempo de ejecución. El principio operativo del desbordamiento de búfer está relacionado estrechamente con la arquitectura del procesador en el que se ejecuta una aplicación vulnerable.
  • DoS (Denial of Service – Denegación de servicio).- El ataque por DoS tiene como objetivo imposibilitar a los usuarios legítimos de una organización el acceso a los recursos de un sistema informático, generalmente durante un período indefinido de tiempo; este tipo de ataque está dirigido en especial a los servidores de una organización, para que no puedan utilizarse ni consultarse, además pueden tener muchas formas y pueden ser lanzados desde sistemas informáticos individuales como desde sistemas informáticos múltiples. El ataque por DoS puede afectar a cualquier servidor de una compañía o cliente conectado a internet, la mayor parte de estos ataques se originan desde direcciones que se estuvieron husmeando o que fueron falsificadas, es por eso que la mayoría de estos ataques aprovechan las vulnerabilidades relacionadas con la implementación de un protocolo TCP/IP, este protocolo tiene una falla en su esquema de direccionamiento, no verifica la dirección de origen cuando se crea el paquete, por lo tanto el pirata informático puede modificar la dirección origen para ocultar su ubicación; los ataques por DoS envían paquetes IP o información de tamaño o formatos atípicos que saturan los equipos de destino o los vuelven inestables, por lo que impiden normal funcionamiento de los servicios de red que brindan. No se trata de un ataque en el que se busque acceder al sistema objetivo para robar o dañar la información, lo que se busca es dañar la reputación de las organizaciones con presencia en internet y potencialmente impedir el desarrollo normal de sus actividades. Google y Facebook han padecido estos ataques. 
    Créditos: Fulcanelli
    • MitM (Man in the middle – Hombre en la mitad). - Este ataque es una situación donde el pirata informático detecta y supervisa una comunicación entre dos usuarios y falsifica los intercambios para hacerse pasar por uno de ellos, la mayoría de estos ataques supervisan la red de datos con una herramienta llamada rastreador de puertos.El ataque de replay, intercepta paquetes de datos y los reenvía al servidor tal como están, de esta forma el pirata informático se puede beneficiar de los derechos del usuario, por ejemplo el mismo usuario puede enviar un nombre de usuario y una contraseña cifrados a un servidor para registrarse, si un pirata informático intercepta la comunicación y reproduce la secuencia obtendrá los mismos derechos que el usuario, además si el sistema permite cambiar la contraseña, el pirata informático podría dejar al usuario sin acceso.El ataque por falseamiento del DNS, busca engañar al sistema de envío para mandar el tráfico hacia la propia dirección MAC, mediante este mecanismo el rastreador envía respuestas a las solicitudes del DNS, estas respuestas proporcionan la dirección IP del rastreador, causando que el sistema de envío mande todo el tráfico hacia el rastreador. El pirata informático debe ser capaz de ver todas las solicitudes DNS y responder a ellas antes de que el DNS real lo haga, esto implica que el rastreador está en la ruta de red desde el sistema en envío hacia el servidor DNS.
    • Suplantación de IP.- Esta técnica de ataque consiste en reemplazar la dirección de un paquete IP del remitente por otra dirección IP. Este ataque aprovecha que no hay validación de las direcciones IP en un paquete, por lo que un pirata informático puede modificar la dirección fuente para hacer parecer que este proviene de cualquier otro lugar, por lo tanto el pirata informático puede enviar paquetes de manera anónima, suplantando la dirección IP al enviar paquetes, más no cambiándola. Un proxy posibilita ocultar la dirección IP, sin embargo los proxies sólo envían paquetes, por lo que aunque la dirección IP este oculta, se puede encontrar a un pirata informático gracias al archivo de registro del sistema. Al intentar suplantar una dirección IP se debe tomar en cuenta, que el paquete de retorno desde un destino no regresaría a la máquina que envía. El encabezado TCP tiene un ISN (Initial Sequence Number - Número de Secuencia Inicial) que se utiliza para reconocer los paquetes y que para cada nueva conexión se lo supone seudo aleatorio. Si se conociera suficiente información acerca de las últimas ISN, podría predecirse el siguiente ISN y con esto se estaría en posibilidad de realizar un ataque de suplantación de IP. El pirata informático primero debe identificar su objetivo, mientras hace esto, debe determinar el incremento empleado en las ISN, esto se hace con una serie de conexiones legítimas hacia el objetivo y tomando nota con ISN que son devueltas. La técnica de suplantación de IP le permite al pirata enviar paquetes a una red de datos sin que el sistema de filtrado de paquetes del cortafuegos los intercepte. Los cortafuegos a menudo se basan en reglas de filtrado que indican las direcciones IP autorizadas a comunicarse con los equipos de la red de datos.
    Créditos: Fulcanelli

    • Secuestro de sesión TCP.- Técnica de ataque conocida también como hijacking la cual consiste en interceptar una sesión TCP iniciada entre dos equipos para secuestrarla. La comprobación de la autentificación se hace solo al abrir la sesión, por lo que un pirata informático que inicie un ataque con éxito, puede controlar la conexión durante toda la sesión. El enrutamiento de origen del protocolo IP es un método de secuestro inicial que consiste en especificar la ruta que los paquetes IP deben seguir a través del uso de una serie de direcciones IP que muestran los ruteadores que deben ser usados, por lo tanto el beneficio que obtiene el pirata informático es el indicarles a los paquetes una ruta de retorno bajo su control. Cuando se deshabilita un enrutamiento de origen, hay un método llamado ataque a ciegas que consiste en enviar paquetes, sin buscar recibir respuesta y más bien buscando predecir una secuencia numérica. Cuando un pirata informático está dentro de la red de datos, mediante el método llamado MitM, puede supervisar la misma y silenciar a uno de los usuarios al congestionar la red de datos o irrumpir en su equipo para tomar su lugar.
    • Secuestro de comandos entre páginas web.- Este ataque también es conocido como XSS o CSS (Cross Site Scripting) y está dirigido a páginas web que muestran de forma dinámica el contenido de los usuarios sin verificar ni codificar la información ingresada. Esto consiste en reemplazar el valor del texto que se mostrará con una secuencia de comandos de modo que aparezca en una página web, de esta manera un pirata informático puede inyectar un código arbitrario en una página web para que se ejecute en el equipo de un usuario. Sin el navegador del usuario está configurado para ejecutar las secuencias de comandos, el código malintencionado tendrá acceso a todos los datos compartidos por la página web y el servidor del usuario, como por ejemplo campos de entrada, cookies, etc. Debido a las vulnerabilidades de las secuencias de comandos entre páginas web, un pirata informático puede usar esta técnica para recuperar datos intercambiados entre el usuario y la página web a la que ingresa, de esta forma el código inyectado en la página web se puede usar para engañar al usuario y hacer que ingrese información de autenticación, además la secuencia de comandos inyectada puede redireccionar al usuario a una página web controlada por el pirata informático y engañarlo utilizando una interfaz gráfica igual a la página web original. Así se deduce que si el contenido suministrado por el usuario no se verifica, es posible mostrar un código HTML arbitrario en una página web para cambiar su apariencia contenido o comportamiento. En este contexto se ve afectada por completo la relación de confianza que existía entre el usuario y la página web. 
    • Inyección de comandos SQL.- Este ataque va dirigido a las páginas web que dependen de bases de datos relacionadas, estas páginas web pasan los parámetros que se pasan a la consulta de SQL, algunos caracteres permiten coordinar varias consultas de SQL o ignorar el resto de la consulta. Un pirata informático puede modificar la consulta para acceder a toda la base de datos e incluso modificar su contenido, además que al insertar un carácter en la consulta puede ejecutar potencialmente la consulta que elija. Por ejemplo SQL Server tiene procedimientos almacenados que permiten comandos de administración, esto es potencialmente peligroso porque algún usuario podría ejecutar comandos que pueden causar una posible intrusión. Por eso es importante que el diseñador verifique los parámetros que se pasan en la consulta de SQL.
    • Suplantación de identidad o phishing.- Técnica fraudulenta que usan los piratas informáticos para engañar a los usuarios de internet enviándoles un correo electrónico usurpando la identidad de una organización fiable como una página web bancaria o corporativa, y de esta manera conseguir información sobre cuentas bancarias, tarjetas de crédito, registros, contraseñas e incluso información personal, para luego usarla con destreza en su propio beneficio. En este tipo de ataque se invita al usuario a conectarse a través de un vinculo de hipertexto y a llenar un formulario en la página web falsificada, que es una copia exacta de la original, todo bajo el pretexto de actualizar datos, actualizar los servicios o hasta para soporte técnico etc. En la suplantación de identidad no se emplea una vulnerabilidad de las redes de datos, sino que se engaña al usuario utilizando la ingeniería social. Si se recibe un mensaje que aparentemente proviene de la página web de un banco o de otra organización, hay que preguntarse si se ha dado la dirección de correo electrónico a esta organización, si el correo electrónico recibido tiene información personalizada que permita verificar su veracidad. Además se recomienda tomar las siguientes precauciones:
    1. Tener cuidado con los formularios que soliciten información bancaria, porque es raro que un banco solicite información tan importante a través de un correo electrónico, lo mejor es descartar este correo electrónico o si se tiene dudas contactarse con el banco telefónicamente.
    2. No hacer clic en el vínculo que aparece en el correo electrónico, es mejor ingresar a este servicio a través de la URL.
    3. Asegurarse que la URL de la organización sea la que afirma ser, por ejemplo se debe prestar atención a la ortografía.
    4. Que el navegador estese en modo seguro cuando se ingrese información importante, es decir que en lo posible la barra del navegador empiece con HTTPS y que además aparezca un candado en la barra de estado de la parte inferior del navegador.

    No hay comentarios:

    Publicar un comentario