Tambin hace posible la inyeccin de datos en una conexin establecida y filtrado
al vuelo aun manteniendo la conexin sincronizada gracias a su poder para establecer un Ataque Man-in-the-middle(Spoofing). Muchos modos de sniffing fueron implementados para darnos un conjunto de herramientas poderoso y completo de sniffing. Esta herramienta fue creada por Alberto Ornaghi (Alor) y Marco Valleri (Naga) y es, bsicamente, una suite para el hombre en los ataques del medio de una LAN.
Entre sus principales funciones tenemos: Inyeccin de caracteres en una conexin establecida emulando comandos o respuestas mientras la conexin est activa. Compatibilidad con SSH1: puede interceptar users y passwords incluso en conexiones "seguras" con SSH. Compatibilidad con HTTPS: intercepta conexiones mediante http SSL (supuestamente seguras) incluso si se establecen a travs de un proxy. Intercepta trfico remoto mediante un tnel GRE: si la conexin se establece mediante un tnel GRE con un router Cisco, puede interceptarla y crear un ataque "Man in the Middle". "Man in the Middle" contra tneles PPTP (Point-to-Point Tunneling Protocol).
Spoofing
Se pueden clasificar los ataques de spoofing, en funcin de la tecnologa utilizada. Entre ellos tenemos:
El IP spoofing ARP spoofing DNS spoofing Web spoofing o email spoofing
En trminos generales se puede englobar dentro de spoofing cualquier tecnologa de red susceptible de sufrir suplantaciones de identidad.
Sniffing
Esto que en principio es propio de una red interna o Intranet, tambin se puede dar en la red de redes: Internet.
Esto se hace mediante aplicaciones que actan sobre todos los sistemas que componen el trfico de una red, as como la interactuacin con otros usuarios y ordenadores. Capturan, interpretan y almacenan los paquetes de datos que viajan por la red, para su posterior anlisis (contraseas, mensajes de correo electrnico, datos bancarios, etc.).
Rootkit
El trmino proviene de una concatenacin de la palabra inglesa root, que significa 'raz' (nombre tradicional de la cuenta privilegiada en los sistemas operativos Unix) y de la palabra inglesa kit, que significa 'conjunto de herramientas' (en referencia a los componentes de software que implementan este programa). El trmino rootkit tiene connotaciones peyorativas ya que se lo asocia al malware.
IDS
Es un dispositivo o aplicacin de software que supervisa las actividades de la red o del sistema para actividades maliciosas o violaciones de poltica y produce informes a una estacin de administracin. IDS vienen en una variedad de "sabores" y se acercan al objetivo de deteccin de trfico sospechoso de diferentes maneras.
IPS
Es un software que ejerce el control de acceso en una red informtica para proteger a los sistemas computacionales de ataques y abusos. La tecnologa de prevencin de intrusos es considerada por algunos como una extensin de los sistemas de deteccin de intrusos (IDS), pero en realidad es otro tipo de control de acceso, ms cercano a las tecnologas cortafuegos.
Cmo opera un atacante?
Recopilar informacin
Esta es una fase preliminar, donde el atacante intentar reunir, localizar, obtener y guardar tanta informacin del objetivo como le sea posible. Indagar para conocer ms sobre el objetivo, este primer paso es considerado una forma pasiva de obtener informacin.
En este punto el atacante puede utilizar muchos recursos para obtener esta informacin, como la Ingeniera Social, mediante este mtodo el atacante realizar alguna conversacin con empleados de la empresa objetivo, ya sea por medio de telfono, correo electrnico o incluso fsicamente, con el objetivo de que le revelen informacin sensible como pueden ser nmeros de telfono no listados en el directorio, contraseas y algn tipo de informacin sensible. En algunos casos puede contactar al rea de sistemas, ayuda o tambin a los encargados de recursos humanos.
Otro recurso es conocido como dumpster dive que es el acto de revisar en la basura del objetivo en busca de informacin sensible, que de una u otra forma se descart de manera incorrecta en algunos casos llegando de forma intacta a la basura. Puede incluso realizar algn anlisis en la red de forma externa o interna sin autorizacin.
Tambin se pueden realizar anlisis mediante Internet, en Internet se puede encontrar bastante informacin sobre un objetivo, en algunos casos se observa en el propio sitio web de la empresa si cuenta con uno. Algunas cosas interesantes son las listas de empleados, sus correos electrnicos, informacin sobre la tecnologa que emplean, software, hardware, los distintos rangos de direcciones IP que maneje el objetivo, as como las posibles sucursales que tenga, informacin a travs de consultas whois para los datos de contacto y servidores de correo.
Enumeracin
La enumeracin es usada para obtener ms informacin sobre el objetivo. La enumeracin involucra conexiones activas al sistema as como peticiones directas, normalmente los sistemas de seguridad alertarn y registrarn dichos intentos.
El tipo de informacin que ser enumerada por los intrusos son los recursos de red, recursos compartidos, usuarios, nombres de grupos, tablas de las rutas de red, aplicaciones, titulares, datos de protocolo simple de administracin de red (SNMP), etc.
Anlisis
Explotacin
Esta es la verdadera fase del ataque, el dao que puede ocasionar un atacante que ha obtenido acceso, es mucho mayor que de alguna otra forma. Tambin en ocasiones el ataque no necesariamente depende de obtener el acceso, puede ser que se realice alguna denegacin de servicio.
Obtener el acceso es uno de los pasos ms importantes en el proceso del ataque, significa el cambio de realizar pruebas en la red (exploracin y enumeracin) a penetrar en la red, el acceso puede ser a nivel de sistema, aplicacin o de red.
El medio de ataque depender de las habilidades del atacante, puede conectarse por medio de una red inalmbrica abierta o protegida dbilmente. Para obtener el acceso se utilizar alguna vulnerabilidad encontrada en la fase anterior mediante alguna liga que contenga un XSS, un ataque de SQL Injection, utilizando algn exploit pblico o privado, etc.
La explotacin puede ocurrir en Internet, LAN, de manera local o incluso mediante un engao o secuestro de sesin. Una vez que el atacante obtenga acceso buscar nuevos sitios para extender su dao.
Existen diversos factores que pueden intervenir para obtener el acceso a un sistema, algunos de ellos son: La arquitectura y configuracin del sistema, las habilidades del atacante, nivel de acceso obtenido inicialmente.
Escalar privilegios.
Borrado de evidencias
Esta fase se refiere a todas las acciones que realizar el atacante para cubrir su rastro y poder incrementar el mal uso del sistema sin ser detectado.
Normalmente el atacante elimina la evidencia del ataque y de sus actividades (instalacin de programas, rootkits) para evitar acciones legales, andar libremente en el sistema comprometido, mantener el acceso, etc.
Las tcnicas ms comunes son: eliminar la evidencia de los archivos de registro (logs). El atacante debe ser cuidadoso con los archivos o programas que deja en el sistema comprometido. Usar tcnicas para ocultar archivos, directorios, atributos ocultos.
Garantizando el acceso
Las puertas traseras son un mtodo utilizado para regresar al sistema sin volverlo a explotar. Algunas otras tcnicas son la estenografa y la utilizacin de tneles en TCP.
Aqu puede comenzar de nuevo el ciclo del ataque, pero ahora realizando el reconocimiento sobre otro objetivo.
Cabe destacar que en algunos casos, teniendo una mquina comprometida, el ataque hacia otro objetivo puede resultar mucho ms sencillo. Esto se debe a que el atacante podra no preocuparse ya de ser tan precavido.
Cmo operamos nosotros?
Ver - Video de intypedia Leccin 4: Introduccin a la seguridad en redes telemticas
Ver - Video de intypedia Leccin 12: Seguridad en redes Wi-Fi
Ataques a redes telemticas
Exploits: Programa o tcnica que aprovecha una vulnerabilidad.
Denial of Service - DoS: Incidente mediante el cual un usuario o compaa es privado de un servicio o recurso que normalmente esperan tener.
Anlisis de trfico de red (Sniffing): Estos ataques consisten en espiar los paquetes de datos que son destinados a otros dispositivos en la red.
Robo de Sesiones (Hijacking): Estos ataques permiten tomar control de una conexin entre dos computadores de una forma similar al ataque "MiM" - Man in the Middle (Hombre en el Medio).