Ataques informáticos
Debilidades de seguridad comúnmente explotadas
Un ataque informático consiste en aprovechar alguna debilidad o falla (vulnerabilidad) en el
software, en el hardware, e incluso, en las personas que forman parte de un ambiente
informático; a fin de obtener un beneficio, por lo general de índole económico, causando un
efecto negativo en la seguridad del sistema, que luego repercute directamente en los activos
de la organización.
Uno de los pasos más importantes en seguridad, es la educación. Comprender cuáles son
las debilidades más comunes que pueden ser aprovechadas y cuáles son sus riesgos
asociados, permitirá conocer de qué manera se ataca un sistema informático ayudando a
identificar las debilidades y riesgos para luego desplegar de manera inteligente estrategias
de seguridad efectivas.
Anatomía de un ataque informático
La siguiente imagen1 muestra las cinco etapas por las cuales suele pasar un ataque
informático al momento de ser ejecutado:
Fase 1: Reconnaissance (Reconocimiento). Esta etapa involucra la obtención de
información (Information Gathering) con respecto a una potencial víctima que puede ser una
persona u organización.
Fase 2: Scanning (Exploración). En esta segunda etapa se utiliza la información obtenida
en la fase 1 para sondear el blanco y tratar de obtener información sobre el sistema víctima
como direcciones IP, nombres de host, datos de autenticación, entre otros.
Fase 3: Gaining Access (Obtener acceso). En esta instancia comienza a materializarse el
ataque a través de la explotación de las vulnerabilidades y defectos del sistema (Flaw
exploitation) descubiertos durante las fases de reconocimiento y exploración.
Fase 4: Maintaining Access (Mantener el acceso). Una vez que el atacante ha conseguido
acceder al sistema, buscará implantar herramientas que le permitan volver a acceder en el
futuro desde cualquier lugar donde tenga acceso a Internet. Para ello, suelen recurrir a
utilidades backdoors, rootkits y troyanos.
Fase 5: Covering Tracks (Borrar huellas). Una vez que el atacante logró obtener y
mantener el acceso al sistema, intentará borrar todas las huellas que fue dejando durante la
intrusión para evitar ser detectado por el profesional de seguridad o los administradores de la
red. En consecuencia, buscará eliminar los archivos de registro (log) o alarmas del Sistema
de Detección de Intrusos (IDS).
Aspectos de seguridad que compromete un ataque
La seguridad consta de tres elementos fundamentales que forman parte de los objetivos que
intentan comprometer los atacantes. Estos elementos son la confidencialidad, la integridad y
la disponibilidad de los recursos.
Confidencialidad. Un atacante podría robar información sensible como contraseñas u otro
tipo de datos que viajan en texto claro a través de redes confiables, atentando contra la
confidencialidad al permitir que otra persona, que no es el destinatario, tenga acceso a los
datos. Un ejemplo que compromete este elemento es el envenenamiento de la tabla ARP
(ARP Poisoning).
Integridad. Mientras la información se transmite a través del protocolo de comunicación, un
atacante podría interceptar el mensaje y realizar cambios en determinados bits del texto
cifrado con la intención de alterar los datos del criptograma. Este tipo de ataques se
denomina Bit-Flipping y son considerados ataques contra la integridad de la información.
Disponibilidad. En este caso, un atacante podría utilizar los recursos de la organización,
como el ancho de banda de la conexión DSL para inundar de mensaje el sistema víctima y
forzar la caída del mismo, negando así los recursos y servicios a los usuarios legítimos del
sistema. Esto se conoce como Denial of Service (DoS) y atenta directamente contra la
integridad de la información
Debilidades de seguridad comúnmente explotadas
Ingeniería Social
Sin embargo, más allá de cualquiera de los esquemas de seguridad que una organización
pudiera plantear, existen estrategias de ataque que se basan en el engaño y que están
netamente orientadas a explotar las debilidades del factor humano: la Ingeniería Social. Los
atacantes saben cómo utilizar estas metodologías y lo han incorporado como elemento
fundamental para llevar a cabo cualquier tipo de ataque.
Factor Insiders
Cuando se habla sobre las personas que se dedican a atacar sistemas informáticos, se
asume que se trata de alguien desconocido que realiza el ataque y maneja todo desde un
lugar remoto llevándolo a cabo a altas horas de la noche. Aunque en algunos casos puede
ser cierto, varios estudios han demostrado que la mayoría de las violaciones de seguridad
son cometidos por el Factor Insiders, es decir, por los mismos empleados desde dentro de
la Institución u Organización.
Contraseñas
Otro de los factores comúnmente explotados por los atacantes son las contraseñas. Si bien
en la actualidad existen sistemas de autenticación complejos, las contraseñas siguen, y
seguirán, siendo una de las medidas de protección más utilizadas en cualquier tipo de
sistema informático.
Si bien es cierto que una contraseña que supere los diez caracteres y que las personas
puedan recordar, es mucho más efectiva que una contraseña de cuatro caracteres, aún así,
existen otros problemas que suelen ser aprovechados por los atacantes. A continuación se
expone algunos de ellos:
· La utilización de la misma contraseña en varias cuentas y otros servicios.
· Acceder a recursos que necesitan autenticación desde lugares públicos donde los
atacantes pueden haber implantado programas o dispositivos físicos como
keyloggers que capturen la información.
· Utilización de protocolos de comunicación inseguros que transmiten la información en
texto claro como el correo electrónico, navegación web, chat, etcétera.
· Técnicas como surveillance (videoconferencia) o shoulder surfing (mirar por detrás
del hombro), entre otras tantas, que permiten evadir los controles de seguridad.
Configuraciones predeterminadas
Las configuraciones por defecto, tanto en los sistemas operativos, las aplicaciones y los
dispositivos implementados en el ambiente informático, conforman otra de las debilidades
que comúnmente son poco atendidas por pensar erróneamente que se tratan de factores
triviales que no se encuentran presentes en la lista de los atacantes.
Sin embargo, las configuraciones predeterminadas hacen del ataque una tarea sencilla para
quien lo ejecuta ya que es muy común que las vulnerabilidades de un equipo sean
explotadas a través de códigos exploit donde el escenario que asume dicho código se basa
en que el objetivo se encuentra configurado con los parámetros por defecto.
OSINT (Open Source Intelligence)
Los atacantes, sobre todo los atacantes externos, aprenden constantemente técnicas de
ataque que le permiten penetrar los esquemas de seguridad por más complejos que sean.
En consecuencia, la pregunta que inmediatamente viene a colación es ¿cómo lo logran?, y
aunque la respuesta pudiera parecer un tanto compleja, resulta más sencilla de lo que se
imagina. La respuesta es investigación.
Una de las primeras facetas de un ataque informático, consiste en la recolección de
información a través de diferentes técnicas como reconnaissance, discovery, footprinting o
Google Hacking; y precisamente, Open Source Intelligence (Inteligencia de fuentes
abiertas) se refiere a la obtención de información desde fuentes públicas y abiertas.
Palabras finales
Es sumamente necesario actuar de manera proactiva frente a los posibles ataques que
puede sufrir la organización. Esto se logra buscando los problemas con la misma dedicación
con la que los atacantes buscan vulnerabilidades a explotar.
Se debe tener en cuenta que una vez que el atacante ha obtenido acceso al sistema, lo
primero que hará es implantar herramientas que permitan ocultar sus rastros (rootkits) e
ingresar al equipo cada vez que lo necesite sin importar desde donde acceda (backdoors)
logrando obtener un mayor grado de control sobre el objetivo. Además, una intrusión no
autorizada puede ser no detectada casi indefinidamente si es llevado a cabo por un atacante
con mucha paciente.
Bibiografía
· Informe sobre malware en América Latina, Laboratorio ESET Latinoamérica, 2008.
http://www.eset-la.com/threat-center/1732-informe-malware-america-latina
· Ten ways hackers breach security. Global Knowledge. 2008
http://images.globalknowledge.com
· Bruce Schneier, Secrets & Lies. Digital Security in a Networked World. John Wiley & Sons, 2000.
No hay comentarios:
Publicar un comentario