Ettercap

Tambin hace posible la inyeccin de datos en una conexin establecida y filtrado

al vuelo aun manteniendo la conexin sincronizada gracias a su poder para
establecer un Ataque Man-in-the-middle(Spoofing). Muchos modos de sniffing
fueron implementados para darnos un conjunto de herramientas poderoso y
completo de sniffing. Esta herramienta fue creada por Alberto Ornaghi (Alor) y
Marco Valleri (Naga) y es, bsicamente, una suite para el hombre en los ataques
del medio de una LAN.

Entre sus principales funciones tenemos:
Inyeccin de caracteres en una conexin establecida emulando comandos
o respuestas mientras la conexin est activa.
Compatibilidad con SSH1: puede interceptar users y passwords incluso en
conexiones "seguras" con SSH.
Compatibilidad con HTTPS: intercepta conexiones mediante http SSL
(supuestamente seguras) incluso si se establecen a travs de un proxy.
Intercepta trfico remoto mediante un tnel GRE: si la conexin se
establece mediante un tnel GRE con un router Cisco, puede interceptarla y
crear un ataque "Man in the Middle".
"Man in the Middle" contra tneles PPTP (Point-to-Point Tunneling
Protocol).

Spoofing


Se pueden clasificar los ataques de spoofing, en funcin de la tecnologa utilizada.
Entre ellos tenemos:

El IP spoofing
ARP spoofing
DNS spoofing
Web spoofing o email spoofing

En trminos generales se puede englobar dentro de spoofing cualquier tecnologa
de red susceptible de sufrir suplantaciones de identidad.






Sniffing

Esto que en principio es propio de una red interna o Intranet, tambin se puede
dar en la red de redes: Internet.

Esto se hace mediante aplicaciones que actan sobre todos los sistemas que
componen el trfico de una red, as como la interactuacin con otros usuarios y
ordenadores. Capturan, interpretan y almacenan los paquetes de datos que viajan
por la red, para su posterior anlisis (contraseas, mensajes de correo electrnico,
datos bancarios, etc.).


Rootkit

El trmino proviene de una concatenacin de la palabra inglesa root, que significa
'raz' (nombre tradicional de la cuenta privilegiada en los sistemas operativos Unix)
y de la palabra inglesa kit, que significa 'conjunto de herramientas' (en referencia a
los componentes de software que implementan este programa). El
trmino rootkit tiene connotaciones peyorativas ya que se lo asocia al malware.


IDS

Es un dispositivo o aplicacin de software que supervisa las actividades de la red
o del sistema para actividades maliciosas o violaciones de poltica y produce
informes a una estacin de administracin. IDS vienen en una variedad de
"sabores" y se acercan al objetivo de deteccin de trfico sospechoso de
diferentes maneras.



IPS

Es un software que ejerce el control de acceso en una red informtica para
proteger a los sistemas computacionales de ataques y abusos. La tecnologa de
prevencin de intrusos es considerada por algunos como una extensin de
los sistemas de deteccin de intrusos (IDS), pero en realidad es otro tipo de
control de acceso, ms cercano a las tecnologas cortafuegos.









Cmo opera un atacante?


Recopilar informacin

Esta es una fase preliminar, donde el atacante intentar reunir, localizar, obtener y
guardar tanta informacin del objetivo como le sea posible. Indagar para conocer
ms sobre el objetivo, este primer paso es considerado una forma pasiva de
obtener informacin.

En este punto el atacante puede utilizar muchos recursos para obtener esta
informacin, como la Ingeniera Social, mediante este mtodo el atacante realizar
alguna conversacin con empleados de la empresa objetivo, ya sea por medio de
telfono, correo electrnico o incluso fsicamente, con el objetivo de que le revelen
informacin sensible como pueden ser nmeros de telfono no listados en el
directorio, contraseas y algn tipo de informacin sensible. En algunos casos
puede contactar al rea de sistemas, ayuda o tambin a los encargados de
recursos humanos.

Otro recurso es conocido como dumpster dive que es el acto de revisar en la
basura del objetivo en busca de informacin sensible, que de una u otra forma se
descart de manera incorrecta en algunos casos llegando de forma intacta a la
basura. Puede incluso realizar algn anlisis en la red de forma externa o interna
sin autorizacin.

Tambin se pueden realizar anlisis mediante Internet, en Internet se puede
encontrar bastante informacin sobre un objetivo, en algunos casos se observa en
el propio sitio web de la empresa si cuenta con uno. Algunas cosas interesantes
son las listas de empleados, sus correos electrnicos, informacin sobre la
tecnologa que emplean, software, hardware, los distintos rangos de direcciones IP
que maneje el objetivo, as como las posibles sucursales que tenga, informacin a
travs de consultas whois para los datos de contacto y servidores de correo.

Enumeracin

La enumeracin es usada para obtener ms informacin sobre el objetivo. La
enumeracin involucra conexiones activas al sistema as como peticiones directas,
normalmente los sistemas de seguridad alertarn y registrarn dichos intentos.

El tipo de informacin que ser enumerada por los intrusos son los recursos de
red, recursos compartidos, usuarios, nombres de grupos, tablas de las rutas de
red, aplicaciones, titulares, datos de protocolo simple de administracin de red
(SNMP), etc.

Anlisis


Explotacin

Esta es la verdadera fase del ataque, el dao que puede ocasionar un atacante
que ha obtenido acceso, es mucho mayor que de alguna otra forma. Tambin en
ocasiones el ataque no necesariamente depende de obtener el acceso, puede ser
que se realice alguna denegacin de servicio.

Obtener el acceso es uno de los pasos ms importantes en el proceso del ataque,
significa el cambio de realizar pruebas en la red (exploracin y enumeracin) a
penetrar en la red, el acceso puede ser a nivel de sistema, aplicacin o de red.

El medio de ataque depender de las habilidades del atacante, puede conectarse
por medio de una red inalmbrica abierta o protegida dbilmente. Para obtener el
acceso se utilizar alguna vulnerabilidad encontrada en la fase anterior mediante
alguna liga que contenga un XSS, un ataque de SQL Injection, utilizando algn
exploit pblico o privado, etc.

La explotacin puede ocurrir en Internet, LAN, de manera local o incluso mediante
un engao o secuestro de sesin. Una vez que el atacante obtenga acceso
buscar nuevos sitios para extender su dao.

Existen diversos factores que pueden intervenir para obtener el acceso a un
sistema, algunos de ellos son: La arquitectura y configuracin del sistema, las
habilidades del atacante, nivel de acceso obtenido inicialmente.

Escalar privilegios.


Borrado de evidencias

Esta fase se refiere a todas las acciones que realizar el atacante para cubrir su
rastro y poder incrementar el mal uso del sistema sin ser detectado.

Normalmente el atacante elimina la evidencia del ataque y de sus actividades
(instalacin de programas, rootkits) para evitar acciones legales, andar libremente
en el sistema comprometido, mantener el acceso, etc.

Las tcnicas ms comunes son: eliminar la evidencia de los archivos de registro
(logs). El atacante debe ser cuidadoso con los archivos o programas que deja en
el sistema comprometido. Usar tcnicas para ocultar archivos, directorios,
atributos ocultos.






Garantizando el acceso

Las puertas traseras son un mtodo utilizado para regresar al sistema sin volverlo
a explotar. Algunas otras tcnicas son la estenografa y la utilizacin de tneles en
TCP.

Aqu puede comenzar de nuevo el ciclo del ataque, pero ahora realizando el
reconocimiento sobre otro objetivo.

Cabe destacar que en algunos casos, teniendo una mquina comprometida, el
ataque hacia otro objetivo puede resultar mucho ms sencillo. Esto se debe a que
el atacante podra no preocuparse ya de ser tan precavido.



Cmo operamos nosotros?



Ver - Video de intypedia Leccin 4: Introduccin a la seguridad en redes
telemticas



Ver - Video de intypedia Leccin 12: Seguridad en redes Wi-Fi



Ataques a redes telemticas

Exploits: Programa o tcnica que aprovecha una vulnerabilidad.

Denial of Service - DoS: Incidente mediante el cual un usuario o compaa es
privado de un servicio o recurso que normalmente esperan tener.

Anlisis de trfico de red (Sniffing): Estos ataques consisten en espiar los
paquetes de datos que son destinados a otros dispositivos en la red.

Robo de Sesiones (Hijacking): Estos ataques permiten tomar control de
una conexin entre dos computadores de una forma similar al ataque "MiM" -
Man in the Middle (Hombre en el Medio).