Professional Documents
Culture Documents
Tesis
Herramientas para la seguridad de redes alámbricas e
inalámbricas en una empresa.
por:
INGENIERO EN TELEMÁTICA
Tesis
por:
INGENIERO EN TELEMÁTICA
una empresa.
Esta tesis fue elaborada bajo la supervisión del comité particular indicado, la
cual ha sido aprobada como requisito parcial para obtener el titulo de:
INGENIERO EN TELEMÁTICA
COMITÉ PARTICULAR
______________________________ ______________________________
M. C. Edgar Perez Arriaga M. C. Arnoldo del Prado Fuentes
Asesor Asesor
______________________________
M. C. Sergio Alvarez Montalvo
Asesor
______________________________ ______________________________
M. C. Froylan Lucero Magaña M. C. Hugo Silva Espinosa
Director Secretario Académico
1
SEGURIDAD INFORMATICA
INDICE
Capítulo I: Introducción. 1
1.1 Objetivos 2
Capítulo II: Revisión de Literatura 3
2.1 Preámbulo 3
2.1.1 Historia de la Seguridad. 3
2.1.2 Panorama de Seguridad. 3
2.1.3 Problemas de Seguridad en las Empresas. 4
2.1.4 Tipos de Amenaza. 5
2.1.5 Desafíos de la Seguridad en las Empresas. 6
2.1.6 Políticas de Seguridad en las Empresas. 7
2.1.7 Asegurando la Empresa. 8
2.2 Seguridad Física y Preservación de Datos. 8
2.2.1 Vulnerabilidades en la Seguridad Física. 9
2.2.2 Soluciones. 10
2.2.2.1 Construyendo la Infraestructura. 10
2.2.2.1.1 Puntos de Ataque. 10
2.2.2.1.2 Medidas de Protección. 11
2.2.2.2 Utilidades. 11
2.22.2.1 Puntos de Ataque. 12
2.2.2.2.2 Medidas de Protección. 12
2.2.2.3 Esquema de la Oficina y Uso. 13
2.2.2.3.1 Medidas de Protección. 13
2.2.2.4 Componentes de Red y Computadoras. 14
2.2.2.4.1 Puntos de Ataque. 14
2.2.2.4.2 Medidas de Prevención. 16
2.2.3 Conclusiones. 16
2.3 Seguridad Lógica. 17
2.3.1 Controles de Acceso. 18
2.3.1.1 Identificación y Autentificación. 18
2.3.1.2 Roles. 20
2.3.1.3 Transacciones. 20
2.3.1.4 Limitaciones a los Servicios. 20
2.3.1.5 Modalidad de Acceso. 21
2.3.1.6 Ubicación y Horario. 21
2.3.1.7 Control de Acceso Interno. 21
2.3.1.7.1 Contraseñas. 21
2.3.1.7.2 Encriptación. 22
2.3.1.7.3 Listas de Control de Accesos. 22
2.3.1.7.4 Límites sobre la Interfase de Usuario 22
2.3.1.7.5 Etiquetas de Seguridad. 23
2.3.1.8 Control de Acceso Externo. 23
1
2.3.1.8.1 Dispositivo de Control de Puertos. 23
2.3.1.8.2 Firewalls. 23
2.3.1.8.3 Acceso de Personal Contratado o Consultores. 23
2.3.1.8.4 Accesos Públicos. 23
2.3.1.9 Administración. 23
2.3.1.9.1 Administración del Personal y Usuarios. 24
2.3.1.9.1.1 Organización del Personal. 24
2.3.2 Niveles de Seguridad Informática. 25
2.3.2.1 Nivel D. 25
2.3.2.2 Nivel C1: Protección Discrecional. 26
2.3.2.3 Nivel C2: Protección de Acceso Controlado. 26
2.3.2.4 Nivel B1: Seguridad Etiquetada. 27
2.3.2.5 Nivel B2: Protección Estructurada. 27
2.3.2.6 Nivel B3: Dominios de Seguridad. 27
2.3.2.7 Nivel A: Protección Verificada. 27
2.4 Comunicaciones. 28
2.4.1 Objetivo de las Redes. 28
2.4.1.1 Estructuras. 29
2.4.1.1.1 Tecnologías de Transmisión. 30
2.4.1.1.2 Modelo Cliente — Servidor. 30
2.4.1.1.3 Tecnología de Objetos. 30
2.4.1.1.4 Sistemas Abiertos. 30
2.4.1.1.5 El Modelo OSI. 31
2.4.1.1.5.1 Transmisión de Datos en el modelo OSI 33
2.4.2 Protocolos de Red. 34
2.4.2.1 NetBios—NetBeui—NwLink—Wins. 34
2.4.2.2 TCP—IP. 35
2.4.2.2.1 Capas del Modelo TCP—IP. 35
2.4.2.2.2 Funcionamiento. 36
2.4.2.2.3 Comparación con el modelo OSI. 37
2.4.2.3 Capa Física del Modelo TCP—IP. 37
2.4.2.3.1 ARP. 37
2.4.2.3.2 RARP. 37
2.4.2.4 Capa de Datos del Modelo TCP—IP. 38
2.4.2.4.1 SLIP. 38
2.4.2.4.2 PPP. 38
2.4.2.5 Capa de Red del Modelo TCP—IP. 39
2.4.2.5.1 IPX—SPX. 39
2.4.2.5.2 IP. 39
2.4.2.5.2.1 DNS — Nombres de Dominio 41
2.4.2.5.2.2 Puertos. 41
2.4.2.5.2.3 AppleTalk. 42
2.4.2.6 Capa de Transporte del Modelo TCP—IP. 42
2.4.2.6.1 TCP. 42
2.4.2.6.2 UDP. 46
2.4.2.7 Capa de Aplicación del Modelo TCP—IP. 46
2.4.2.7.1 ICMP. 46
2.4.2.7.2 FTP. 46
2.4.2.7.3 HTTP. 47
2.4.2.7.4 SMTP. 49
2.4.2.7.5 POP. 49
2.4.2.7.6 MIME. 50
2
2.4.2.7.7 NNTP. 50
2.4.2.7.8 SNMP. 50
2.4.3 Estructura Básica de la Web. 51
2.4.3.1 Servicios de Internet. 51
2.4.3.1.1 TELNET. 52
2.4.3.1.2 IRC. 52
2.4.3.1.3 USENET. 53
2.4.3.1.4 FINGER. 54
2.4.3.1.5 WHOIS. 55
2.5 Amenazas Lógicas. 55
2.5.1 Acceso — Uso — Autorización. 56
2.5.2 Detección de Intrusos. 56
2.5.3 Identificación de las Amenazas. 57
2.5.4 Tipos de Ataque. 60
2.5.4.1 Ingeniería Social. 61
2.5.4.2 Ingeniería Social Inversa. 62
2.5.4.3 Trashing. 62
2.5.4.4 Ataques de Monitorización. 63
2.5.4.4.1 Shoulder Surfing. 63
2.5.4.4.2 Decoy. 63
2.5.4.4.3 Scanning. 63
2.5.4.4.3.1 TCP Connect Scanning. 64
2.5.4.4.3.2 TCP SYN Scanning. 64
2.5.4.4.3.3 TCP FIN Scanning. 65
2.5.4.4.3.4 Fragmentation Scanning. 66
2.5.4.4.4 EavesDropping — Packet Sniffing. 66
2.5.4.4.5 Snooping — Downloading. 67
2.5.4.5 Ataques de Autentificación. 67
2.5.4.5.1 Spoofing — Looping. 67
2.5.4.5.2 Spoofing. 68
2.5.4.5.2.1 IP Spoofing. 68
2.5.4.5.2.2 DNS Spoofing. 69
2.5.4.5.3 Web Spoofing. 69
2.5.4.5.4 IP Splicing — Hijacking. 69
2.5.4.5.5 Utilización de Backdoors. 70
2.5.4.5.6 Utilización de Exploits. 71
2.5.4.5.7 Obtención de Password. 71
2.5.4.5.7.1 Uso de Diccionario. 71
2.5.4.6 Denial of Service DoS. 72
2.5.4.6.1 Jamming o Flooding. 73
2.5.4.6.2 SYN Flood. 73
2.5.4.6.3 Conection Flood. 74
2.5.4.6.4 Net Flood. 74
2.5.4.6.5 Land Attack. 75
2.5.4.6.6 Smurf o Broadcast Store. 75
2.5.4.6.7 OOB, Supernuke o WinNuke. 76
2.5.4.6.8 Teardrop I y II —NewTear—Bonk—Boink. 77
2.5.4.6.9 E-mail Bombing-Spamming. 77
2.5.4.7 Ataques de Modificación — Daño. 77
2.5.4.7.1 Tampering o Data Diddling. 77
2.5.4.7.2 Borrado de Huellos. 78
2.5.4.7.3 Ataques mediante Java Applets. 78
3
2.5.4.7.4 Ataques con JavaScript y VbScript. 79
2.5.4.7.5 Ataques mediante ActiveX. 79
2.5.4.7.6 Vulnerabilidades en los Navegadores. 80
2.5.4.8 Errores de Diseño, Implementación y Operación. 81
2.5.4.9 Implementación de estás Técnicas. 81
2.5.4.10 Forma de Defenderse de estos Ataques. 82
2.5.5 Creación y difusión de Virus. 83
2.5.5.1 Origen. 83
2.5.5.2 Los Números Hablan. 85
2.5.5.3 Descripción de un Virus. 86
2.5.5.3.1 Técnicas de Propagación. 87
2.5.5.3.2 Tipos de Virus. 87
2.5.5.3.2.1 Archivos Ejecutables ExeVir. 88
2.5.5.3.2.2 Virus en el Sector de Arranque. 88
2.5.5.3.2.3 Virus Residente. 89
2.5.5.3.2.4 Macrovirus. 89
2.5.5.3.2.5 Virus de Mail. 90
2.5.5.3.2.6 Virus de Sabotaje. 90
2.5.5.3.2.7 Hoax, Virus Fantasmas. 91
2.5.5.3.2.8 Virus de Applets Java y ActiveX 91
2.5.5.3.2.9 Gusanos Reproductores. 91
2.5.5.3.2.10 Caballos de Troya. 91
2.5.5.3.2.11 Bombas Lógicas. 91
2.5.5.3.3 Modelo de Virus Informático. 92
2.5.5.4 Tipos de Daños ocasionados por los Virus. 92
2.5.5.5 Autores. 93
2.5.5.6 Programa Antivirus. 94
2.5.5.6.1 Modelo de un Antivirus. 95
2.5.5.6.2 Utilización de los Antivirus. 96
2.5.5.7 Aspectos Jurídicos sobre Virus Informáticos. 96
2.5.5.8 Consejos. 97
2.6 Protección. 99
2.6.1 Vulnerar para Proteger. 99
2.6.1.1 Adminstración de la Seguridad. 100
2.6.1.2 Penetration Test, Ataques Simulados. 102
2.6.1.3 HoneyPots — HoneyNets. 103
2.6.2 Firewalls. 104
2.6.2.1 Routers y Bridges. 105
2.6.2.2 Tipos de Firewall. 105
2.6.2.2.1 Filtrado de Paquetes. 105
2.6.2.2.2 Proxy — Gateways de Aplicaciones. 106
2.6.2.2.3 Dual — Homed Host. 107
2.6.2.2.4 Screened Host. 108
2.6.2.2.5 Screened Subnet. 108
2.6.2.2.6 Inspección de Paquetes. 109
2.6.2.2.7 Firewalls Personales. 110
2.6.2.3 Políticas de Diseño de Firewalls. 110
2.6.2.4 Restricciones en el Firewall. 111
2.6.2.5 Beneficios de un Firewall. 111
2.6.2.6 Limitaciones de un Firewall. 112
2.6.3 Listas de Control de Acceso ACL. 112
4
2.6.4 Wrappers. 112
2.6.5 Detección de Intrusos en Tiempo Real. 114
2.6.5.1 Intrution Detection Systems IDS. 114
2.6.5.1.1 Características de IDS. 115
2.6.5.1.2 Fortalezas de IDS. 116
2.6.5.1.3 Debilidades de IDS. 117
2.6.5.1.4 Inconveniencias de IDS. 117
2.6.6 Call Back. 117
2.6.7 Sistemas Anti—Sniffers. 118
2.6.8 Gestión de Claves Seguras. 118
2.6.8.1 Normas de Elección de Claves. 119
2.6.8.2 Normas para Proteger una Clave. 120
2.6.8.3 Contraseñas de un solo uso. 121
2.6.9 Seguridad en Protocolos y Servicios. 121
2.6.9.1 NetBios. 122
2.6.9.2 ICMP. 122
2.6.9.3 FINGER. 122
2.6.9.4 POP. 123
2.6.9.5 NNTP. 123
2.6.9.6 NTP. 124
2.6.9.7 TFTP. 124
2.6.9.8 FTP. 124
2.6.9.8.1 FTP Anónimo. 125
2.6.9.8.2 FTP Invitado. 125
2.6.9.9 Telnet. 125
2.6.9.10 SMTP. 126
2.6.9.11 Servidres WorldWideWeb. 126
2.6.10 Criptología. 127
2.6.10.1 Historia. 127
2.6.10.2 Criptografía. 128
2.6.10.3 Criptoanálisis. 128
2.6.10.4 Criptosistema. 128
2.6.10.4.1 Transposición. 130
2.6.10.4.2 Cifrados Monoalfabéticos. 130
2.6.10.4.2.1 Algoritmo de César. 130
2.6.10.4.2.2 Sustición General. 131
2.6.10.5 Algoritmos Simétricos Modernos. 131
2.6.10.5.1 Redes de FEISTEL. 131
2.6.10.5.2 DES. 131
2.6.10.5.2.1 DES Múltiple. 132
2.6.10.5.3 IDEA. 132
2.6.10.5.4 BLOWFISH. 133
2.6.10.5.5 RC5. 133
2.6.10.5.6 CAST. 133
2.6.10.5.7 RIJNDAEL . 133
2.6.10.5.8 Criptoanálisis de Algoritmos Simétricos. 134
2.6.10.6 Algoritmos Asimétricos. 134
2.6.10.6.1 RSA. 135
2.6.10.6.1.1 Ataques a RSA. 135
2.6.10.6.2 Curvas Elípticas CEE. 136
2.6.10.7 Autentificación. 136
2.6.10.7.1 Firma Digital. 137
5
2.6.10.7.1 MD5. 138
2.6.10.7.2 SHA-1. 138
2.6.10.8 PGP. 138
2.6.10.8.1 Funcionamiento de PGP. 138
2.6.10.8.1.1 Anillos de Claves. 138
2.6.10.8.1.2 Codificación de Mensajes. 139
2.6.10.8.1.3 Decodificación de Mensajes. 139
2.6.10.8.1.4 Compresión de Archivos. 139
2.6.10.8.1.5 Algoritmos usados por PGP. 139
2.6.10.9 Esteganografía. 140
2.6.11 Comercio Electrónico. 140
2.6.11.1 Dinero Electrónico. 140
2.6.11.1.1 Certificados X.509. 141
2.6.11.1.2 SSL. 142
2.6.11.1.2.1 Limitaciones y Problemas de SSL. 143
2.6.11.1.2.2 Ventajas de SSL. 144
2.6.11.1.3 TLS. 144
2.6.11.1.4 SET. 145
2.6.12 Otros Protocolos de Seguridad. 146
2.6.12.1 SSH. 146
2.6.12.2 S/MME. 147
2.6.12.3 SOCKS. 148
2.6.12.4 KERBEROS. 148
2.6.12.4.1 Resumen de Kerberos. 150
2.6.12.4.2 Problemas de Kerberos. 151
2.6.13 Redes Virtuales Privadas VPN. 151
2.6.13.1 Requerimientos de VPN. 152
2.6.13.2 L2TP. 153
2.6.13.3 PPTP. 153
2.6.13.4 IPSEC. 153
2.6.14 Inversión 155
2.7 Ataques Simulados en redes alámbricas. 155
2.7.1 Vulnerabilidades en la Infraestructura de Red. 156
2.7.2 Escogiendo Herramientas. 157
2.7.2.1 Escáneres. 158
2.7.2.2 Pruebas de Valoración. 158
2.7.3 Scanning, Poking and Prodding. 159
2.7.3.1 Escaneo de Puertos. 159
2.7.3.1.1 Ping sweeps. 162
2.7.3.1.2 Escáneres de Puertos. 163
2.7.3.1.2.1 SuperScan. 163
2.7.3.1.2.2 Nmap. 164
2.7.3.1.3 Medidas de Protección. 166
2.7.3.1.3.1 Restricción de Tráfico. 166
2.7.3.1.3.2 Reuniendo Información de la Red. 167
2.7.3.1.3.3 Rechazo de Tráfico. 167
2.7.4 Examinando SNMP. 168
2.7.4.1 Vulnerabilidades. 168
2.7.4.2 Medidas de Protección. 169
2.7.5 Banner Grabbing. 169
2.7.5.1 Telnet. 169
6
2.7.5.2 Netcat. 170
2.7.5.3 Medidas de Protección. 170
2.7.6 Reglas del Firewall. 171
2.7.6.1 Probando. 171
. 2.7.6.1.1 Herramientas todo en uno. 171
2.7.6.1.2 Netcat. 172
2.7.6.1.3 Herramientas alternativas para las pruebas. 173
2.7.6.2 Medidas deProtección. 173
2.7.7 Viendo a través de un Analizador de Red. 173
2.7.8 Medidas de Protección. 181
2.7.8.1 Seguridad Física. 181
2.7.8.2 Detección de un Analizador de Red. 181
2.7.9 Ataque del MAC—daddy. 181
2.7.9.1 ARP spoofing. 181
2.7.9.2 Spoofing de direcciones MAC. 183
2.7.9.2.1 Sistemas basados en UNIX. 183
2.7.9.2.2 Windows. 183
2.7.9.3 Medidas de Protección. 185
2.7.9.3.1 Prevención. 185
2.7.9.3.2 Detección. 185
2.7.9.4 Denial of Service DoS. 185
2.7.9.4.1 Ataques de DoS. 185
2.7.9.4.1.1 Ataques individuales. 185
2.7.9.4.1.2 Ataques distribuidos. 186
2.7.9.4.2 Probando. 186
2.7.9.4.3 Medidas de Protección. 186
2.7.9.5 Defensas generales en la red. 187
2.8 Ataques simulados en redes Inalámbricas. 188
2.8.1 Implicaciones de Vulnerabilidades en las Redes Inalámbricas 188
2.8.2 Escogiendo sus Herramientas. 189
2.8.3 Descubrimiento de redes LAN’s inalámbricas. 190
2.8.3.1 Verificando reconocimiento mundial. 191
2.8.3.2 Examinando ondas de aire locales. 192
2.8.4 Ataques en las redes inalámbricas. 194
2.8.5 Tráfico encriptado. 196
2.8.6 Medidas de protección. 196
2.8.7 Problemas de Seguridad Física. 196
2.8.8 Estaciones de Trabajo Vulnerables. 197
2.8.8.1 Medidas de Protección. 197
2.8.9 Configuraciones por default. 198
2.8.9.1 Medidas de Protección. 199
2.9 Políticas de Seguridad. 200
2.9.1 Políticas de Seguridad Informática. 201
2.9.2 Evaluación de Riesgos. 203
2.9.2.1 Niveles de Riesgos. 205
2.9.2.2 Identificación de Amenazas. 206
2.9.2.3 Evaluación de Costos. 207
2.9.2.3.1 Valor Intrínseco. 208
2.9.2.3.2 Costos derivados de la Pérdida. 208
2.9.2.3.3 Puntos de equilibrio. 209
2.9.3 Estrategia de Seguridad. 209
2.9.3.1 Implementación. 210
7
2.9.3.2 Auditoría y Control. 213
2.9.3.3 Plan de Contingencia. 213
2.9.3.4 Equipo de respuesta a incidentes. 214
2.9.3.5 Backups. 215
2.9.3.6 Pruebas. 216
2.9.4 Políticas. 217
2.9.4.1 Nivel Físico. 217
2.9.4.1.1 Amenaza no intencionada. 217
2.9.4.2 Nivel Humano. 218
2.9.4.2.1 Usuario. 218
2.9.4.2.1.1 Amenaza no Intencionada. 219
2.9.4.2.1.2 Amenaza Malintencionada. 220
2.9.4.2.2 Personas Ajenas al Sistema. 221
2.9.4.2.2.1 Amenaza no Intencionada. 221
2.9.4.2.2.2 Amenaza Malintencionada. 222
Capítulo III Resultados y Discusión 224
Capítulo IV Conclusiones. 225
Aislamiento contra Globalización. 225
Diseño Seguro Requerido. 225
Legislación Vigente. 225
Tecnología Existente. 225
Daños Minimizables. 226
Riesgos Manejables. 226
Costos. 226
Personas Involucradas. 226
Bibliografía 228
Apéndices 231
Apéndice A: Uso de un software para contraseñas 231
Apéndice B: Diez tips para obtener mejores resultados 233
Apéndice C: Diez errores mortales 236
Apéndice D: “hackers” y Crackers famosos 238
8
2
I. INTRODUCCIÒN
1.1 Objetivos
1
➢ Proporcionar información que revele lo concerniente a la seguridad
informática.
3
en que un negocio es dirigido y los métodos mediante los cuales dichos
negocios se comunican. Mas y mas negocios se están dando cuenta que el
Internet les proporciona un medio relativamente barato para dirigirse en una
escala global. Desafortunadamente, el Internet esta perdiendo muchos
componentes importantes, uno de los cuales es la seguridad. El Internet posee
un número ilimitado de posibilidades para las empresas, pero las empresas
primeramente deben medir el riesgo de dirigir el negocio en el Internet contra
las medidas necesarias para proteger dicho negocio el cual están tratando de
dirigir. Como resultado del Internet, las cargas del tráfico de la información
dentro de la empresa ha aumentado exponencialmente, e incluso, también,
tiene el valor comercial de la infraestructura que sostiene la carga de tráfico
más alta, mientras aumenta el riesgo de la vulnerabilidad en las brechas de
seguridad.
Para proveer la seguridad máxima para su red, primero debe tener una
idea de que es lo que estás tratando de proteger. Entonces se debe decidir
ante que tipo de intruso se está tratando de proteger. Los intrusos pueden
tomar muchas formas, incluyendo las siguientes:
➢ Empleados actuales.
➢ Empleados anteriores.
➢ Competidores.
➢ Buscadores.
2
nunca, ocasionan daños intencionales en los datos. A los “hackers” algunas
veces se les denomina como “cuello blanco”.
Los métodos que los “hackers” y los crackers usan para obtener acceso
no autorizado dentro de los dispositivos de la red son conocidos como
amenazas (threats). Tener un problema de seguridad es suficiente, pero,
desafiar algún esfuerzo para problemas categóricos de grupo y definir métodos
para protegerse contra los problemas. Una lista generalizada de amenazas se
presentan a continuación; los métodos usados para frustrar estas amenazas
serán discutidas mas adelante:
2
llevar a posibles problemas de seguridad, tales como ataques
smurf, IP spoofing, predicciones de secuencia de los números
TCP/IP, y SYN floods. El protocolo IP solo, es un protocolo muy
confiable; por ello, los “hackers” están libres de cambiar los datos
IP.
Uno de los más grandes desafíos que enfrentan los administradores del
sistema, es escoger entre el vasto número de productos de seguridad ofrecidos
en el mercado. Los administradores del sistema deben medir el costo de los
productos de seguridad contra el desempeño, manejabilidad y escalabilidad.
2
el negocio de la empresa debe dictar como es escrita una política de seguridad.
Las oportunidades del negocio son lo que maneja la seguridad en primer lugar.
El propósito principal de una política de seguridad es informar a cualquiera que
use la red de la empresa los requerimientos para proteger las tecnologías de la
empresa y los recursos de la información. La política debe especificar los
mecanismos por los cuales estos requerimientos se pueden conocer. De todos
los documentos con los que cuenta la organización, las políticas de seguridad
son las más importantes.
2
* Políticas de seguridad física — Define controles que pertenecen a
dispositivos físicos de seguridad y el acceso.
➢ Número de empleados.
2
2.2.2 Soluciones.
2
a un sistema de alarmas? (Greenberg, 2003)
2
agua? Determine cómo un intruso malévolo puede abusar de ellos.
Estos dispositivos ¿están colocados donde puedan dañar el equipo
electrónico durante una falsa alarma?
2
fácilmente accesibles por cualquiera? ¿Están siendo usadas las cajas
recicladoras o desfibradoras? Abrir cajas de reciclaje u otras cosas
descuidadas son invitaciones abiertas para el que busca en basura — en
la que los “hackers” investigan información confidencial de la compañía
en las listas del teléfono y memorándums en la basura. Los buscadores
en basureros pueden llevar a muchas exposiciones de seguridad.
* Cámaras CCTV.
2
acceso.
2
horas de trabajo?
* ¿Qué tan fácil puede alguien acceder a una señal wireles del
access point (AP) o al mismo AP para unirse a la red?
* Requerir que los usuarios con laptops aseguren sus sistemas a sus
escritorios con llave. Esto es especialmente importante en compañías
más grandes o en ocasiones donde haya mucho tráfico de personal.
2
* Medios de comunicación de la computadora apropiadamente seguros
— como los discos 3 ½, CD-ROM´s, cintas y unidades de disco duro —
cuando estén guardados y durante su transporte.
2.2.3 Conclusiones.
* Disminuir siniestros.
Así, la Seguridad Física, sólo es una parte del amplio espectro que se
debe cubrir para no vivir con una sensación ficticia de seguridad. Como ya se
ha mencionado, el activo más importante que se posee es la información, y por
lo tanto deben existir técnicas, más allá de la seguridad física, que la aseguren.
Estas técnicas las brinda la Seguridad Lógica.
1
➢ • Restringir el acceso a los programas y archivos.
3
Al igual que se consideró para la seguridad física, y basada en ella,
existen cuatro tipos de técnicas que permiten realizar la autenticación de la
identidad del usuario, las cuales pueden ser utilizadas individualmente o
combinadas:
3
2. Además, la identificación de los usuarios debe definirse de acuerdo
con una norma homogénea para toda la organización.
2.3.1.2 Roles.
1
usuaria, administrador del sistema, etc. En este caso los derechos de acceso
pueden agruparse de acuerdo con el rol de los usuarios.
2.3.1.3 Transacciones.
2
este tipo de controles permite limitar el acceso de los usuarios a determinadas
horas de día o a determinados días de la semana. De esta forma se mantiene
un control más restringido de los usuarios y zonas de ingreso.
2.3.1.7.2 Encriptación.
2
Se refiere a un registro donde se encuentran los nombres de los usuarios que
obtuvieron el permiso de acceso a un determinado recurso del sistema, así
como la modalidad de acceso permitido. Este tipo de listas varían
considerablemente en su capacidad y flexibilidad.
1
Debe considerarse para estos casos de sistemas públicos, que un
ataque externo o interno puede acarrear un impacto negativo en la imagen de
la organización.
2.3.1.9 Administración.
1
permiso de acceso requerido por cada puesto para la ejecución
de las tareas asignadas.
Cabe aclarar que cada nivel requiere todos los niveles definidos
anteriormente: así el subnivel B2 abarca los subniveles B1, C2, C1 y el D.
2.3.2.1 Nivel D.
2
Este nivel contiene sólo una división y está reservada para sistemas que
han sido evaluados y no cumplen con ninguna especificación de seguridad. Sin
sistemas no confiables, no hay protección para el hardware, el sistema
operativo es inestable y no hay autentificación con respecto a los usuarios y
sus derechos en el acceso a la información. Los sistemas operativos que
responden a este nivel son MS–DOS y System 7.0 de Macintosh.
2.3.2.2 Nivel C1: Protección discrecional.
Este subnivel fue diseñado para solucionar las debilidades del C1.
Cuenta con características adicionales que crean un ambiente de acceso
controlado. Se debe llevar una auditoria de accesos e intentos fallidos de
acceso a objetos. Tiene la capacidad de restringir aún más el que los usuarios
ejecuten ciertos comandos o tengan acceso a ciertos archivos, permitir o
denegar datos a usuarios en concreto, con base no sólo en los permisos, sino
también en los niveles de autorización.
1
Los usuarios de un sistema C2 tienen la autorización para realizar
algunas tareas de administración del sistema sin necesidad de ser
administradores. Permite llevar mejor cuenta de las tareas relacionadas con la
administración del sistema, ya que es cada usuario quien ejecuta el trabajo y
no el administrador del sistema.
2.3.2.4 Nivel B1: Seguridad etiquetada.
Requiere que se etiquete cada objeto de nivel superior por ser padre de
un objeto inferior. La Protección Estructurada es la primera que empieza a
referirse al problema de un objeto a un nivel mas elevado de seguridad en
comunicación con otro objeto a un nivel inferior. Así, un disco rígido será
etiquetado por almacenar archivos que son accedidos por distintos usuarios.
Además, cada usuario tiene asignado los lugares y objetos a los que
puede acceder.
1
Es el nivel más elevado, incluye un proceso de diseño, control y
verificación, mediante métodos formales (matemáticos) para asegurar todos los
procesos que realiza un usuario sobre el sistema. Para llegar a este nivel de
seguridad, todos los componentes de los niveles inferiores deben incluirse. El
diseño requiere ser verificado de forma matemática y también se deben realizar
análisis de canales encubiertos y de distribución confiable. El software y el
hardware son protegidos para evitar infiltraciones ante traslados o movimientos
del equipamiento (Howard, 1995).
2.4 Comunicaciones.
3
significa que si una de ellas deja de funcionar, las otras pueden ser capaces de
encargarse de su trabajo, aunque el rendimiento global sea menor.
Otro objetivo es el ahorro económico. Las computadoras pequeñas
tienen una mejor relación costo/rendimiento, comparada con la ofrecida por las
máquinas grandes. Estas son, a grandes rasgos, diez veces más rápidas que
el más rápido de los microprocesadores, pero su costo es miles de veces
mayor. Este desequilibrio ha ocasionado que muchos diseñadores construyan
sistemas constituidos por poderosos ordenadores personales, uno por usuario
y con los datos guardados en una o más máquinas que funcionan como
servidor de archivo compartido.
Una forma que muestra el amplio potencial del uso de redes como medio
de comunicación es Internet y el uso del correo electrónico (e–mail), que se
envía a una persona situada en cualquier parte del mundo que disfrute de este
servicio (Beaver, 2004).
2.4.1.1 Estructuras.
Las redes deberían ser lo más transparentes posibles, de tal forma que
el usuario final no requiera tener conocimiento de la tecnología (equipos y
programas) utilizada para la comunicación.
2
2.4.1.1.1 Tecnologías de transmisión.
2
enlazarlas entre sí y las haga funcionar como una máquina compuesta, capaz
de sacar provecho de las conexiones de alta velocidad.
Esta clasificación permite que cada protocolo fuera desarrollado con una
finalidad determinada, lo cual simplifica el proceso de implementación. Cada
capa depende de los que están por debajo de él, y a su vez proporciona alguna
funcionalidad a los capas superiores.
1. Capa Física: esta capa tiene que ver con el envío de bits en un
medio físico de transmisión y asegura que si de un extremo del
medio se envía un 1 (carga eléctrica) del otro lado se reciba ese.
1. Brinda los medios eléctricos, mecánicos, de procedimiento y
funcionales para activar y mantener el enlace físico entre los
sistemas.
2
4. Capa de Transporte: el objetivo de esta capa es el de tomar
datos de la Capa de Sesión y asegurarse que dichos datos llegan
a su destino. En ocasiones los datos que vienen de la Capa de
Sesión exceden el tamaño máximo de transmisión (MTU
Maximum Transmission Unit) de la interfaz de red, por lo cual es
necesario particionarlos y enviarlos en unidades más pequeñas, lo
cual da origen a la fragmentación y ensamblado de paquetes cuyo
control se realiza en esta capa.
La última labor importante de la Capa de Transporte es ofrecer un
mecanismo de nombrado que sirva para identificar y diferenciar
las múltiples conexiones existentes, así como determinar en qué
momento se inician y se terminan las “conversaciones”; es decir,
en esta capa hay un mecanismo de control de flujo. Por ejemplo,
si el usuario "a" en el nodo (A) quiere iniciar una sesión de trabajo
remoto en un nodo (B), existirá una conexión que debe ser
diferenciada de la conexión que el usuario "b" necesita para
transferir un archivo del nodo (B) al nodo (A).
Imagen 1
2
Modelo OSI. Fuente: CISCO Networking Academies. Curriculum Online
Versión 1.1.
1
paquete de datos real esté íntegro, o para que éste llegue a su destino sin que
los datos sufran alguna alteración.
2.4.2.1 NETBIOS–NETBEUI–NWLINK–WINS.
2.4.2.2 TCP/IP.
2
Actualmente TCP/IP se utiliza ampliamente en la versión 4 (IPv4) que no
incluye la seguridad como parte de su construcción. Sin embargo se encuentra
en desarrollo (IPv6 o IPSec) que dentro de sus estándares soporta
autenticación, integridad y confidencialidad a nivel de datagramas
Imagen 2
1
Protocol (TCP) y el User Datagram Protocol (UDP). El primero es un
protocolo confiable (reliable) y orientado a conexiones, lo cual significa
que ofrece un medio libre de errores para enviar paquetes. El segundo
es un protocolo no orientado a conexiones (connectionless) y no es
confiable (unreliable). El TCP se prefiere para la transmisión de datos a
nivel red de área amplia y el UDP para redes de área local.
Internet: Es el nivel de Red del modelo OSI. Incluye al protocolo IP, que
se encarga de enviar los paquetes de información a sus destinos
correspondientes. Es utilizado con esta finalidad por los protocolos del
nivel de transporte.
2.4.2.2.2 Funcionamiento.
Las aplicaciones de red presentan los datos a TCP. Este divide los datos
en trozos (paquetes), y le otorga a cada uno un número. El conjunto de
paquetes ordenados pueden representar imágenes, documentos, videos, o
cualquier otra información que el usuario desee enviar.
2
Si bien TCP/IP está basado en OSI, este último no tuvo éxito debido a
causas como el momento de su introducción, la tecnología existente en ese
momento, malas implementaciones y políticas por parte de los investigadores.
Sin embargo OSI es un buen modelo y TCP/IP es un buen conjunto de
protocolos y la combinación de ambos es la que permite contar con las
comunicaciones que se tienen hoy.
2.4.2.3.2 RARP.
1
Este protocolo apoya solamente IP, no provee detección de errores ni de
autenticación y tienen la desventaja de que existen muchas implementaciones
incompatibles entre ellas.
2.4.2.4.2 PPP.
2.4.2.5.2 IP.
1
contiene. Para ello se utiliza una nueva cabecera que se antepone al
datagrama que se está tratando.
2
1. Clase A: son las que en su primer byte tienen un valor comprendido
entre 1 y 126, incluyendo ambos valores. Estas direcciones utilizan
únicamente este primer byte para identificar la red, quedando los otros
tres bytes disponibles para cada uno de las computadoras (Hosts) que
pertenezcan a esta misma red. Esto significa que podrán existir más de
dieciséis millones de Hosts en cada una de las 126 redes de esta clase.
Este tipo de direcciones es usado por redes muy extensas.
3. Clase C: en este caso el valor del primer byte tendrá que estar
comprendido entre 192 y 223, incluyendo ambos valores. Este tercer tipo
de direcciones utiliza los tres primeros bytes para el número de la red,
con un rango desde 192.001.001 hasta 223.254.254. De esta manera
queda libre un byte para el Host, lo que permite que se conecten un
máximo de 254 computadoras en cada red.
2.4.2.5.2.2 Puertos.
2
La combinación Dirección IP + Puerto identifican una región de memoria
única denominada Socket. Al indicar este Socket, se puede trasladar el
paquete a la aplicación correcta (FTP, Telnet, WWW, etc.) y, si además recibe
el puerto desde donde fue enviado el mensaje, se podrá suministrar una
respuesta.
Imagen 3
4
Fuente: http://www.isi.edu/in–notes/iana/assignments/port–numbers
según RFC 768, RFC 793 y RFC 1060
2.4.2.5.3 APPLETALK.
3
Las principales características de este protocolo son:
Imagen 4
3
Los puertos proporcionan una manera de distinguir entre las distintas
transferencias, ya que un mismo sistema puede estar utilizando varios servicios
o transferencias simultáneamente, e incluso puede que por medio de usuarios
distintos.
1
CheckSum (16 bits), el cual contiene un valor calculado a partir de la
información del datagrama completo. En el otro extremo el receptor vuelve a
calcular este valor, comprobando que es el mismo que el suministrado en la
cabecera. Si el valor es distinto significará que el datagrama es incorrecto.
2
2.4.2.6.2 UDP.
2.4.2.7.2 FTP.
Gráficamente:
Imagen 5
2
Lógicamente y por motivos de seguridad se hace necesario contar con el
permiso previo para poder realizar todas estas operaciones. El servidor FTP
pedirá el nombre de usuario y clave de acceso al iniciar la sesión (login). Este
debe ser suministrado correctamente para poder utilizar el servicio.
2.4.2.7.3 HTTP.
1
4. Sin estado: HTTP no mantiene un estado. Cuando se solicita
una transferencia a través de HTTP, se crea la conexión, se
produce la transferencia y se termina la conexión. Esta es una de
las debilidades de HTTP; sin información de estado, cada página
Web está sola. Por ejemplo, es difícil desarrollar una aplicación
basada en la Web que permita que un usuario se conecte en una
página y que mantenga esta información de conexión durante
todo el tiempo que el usuario esté accediendo activamente al
destino. Cualquier documento transferido a través de HTTP no
tiene ningún contexto y es completamente independiente de todos
los documentos transferidos antes de él.
2.4.2.7.4 SMTP.
3
Generalmente los mensajes de correo electrónico no se envían
directamente a las computadoras personales de cada usuario, sino a un
servidor de correo que actúa como almacén de los mensajes recibidos. Los
mensajes permanecerán en este sistema hasta que el usuario los transfiera a
su propio equipo para leerlos de forma local (vía POP).
El cliente de correo envía una solicitud a su e–mail Server (al puerto 25)
para enviar un mensaje (y almacenarlo en dicho servidor). El Server establece
una conexión SMTP donde emisor y receptor intercambian mensajes de
identificación, errores y el cuerpo del mail. Luego de esto el emisor envía los
comandos necesarios para la liberación de la conexión.
Imagen 7
2.4.2.7.5 POP.
Imagen 8
3
2.4.2.7.6 MIME.
2.4.2.7.7 NNTP.
2.4.2.7.8 SNMP.
1
Inicialmente se ideo para que unos cuantos físicos intercambiaran información
entre universidades, hoy es uno de los pilares fundamentales de muchas
empresas.
2.4.3.1.1 TELNET.
2
El protocolo Telnet es un emulador de terminal que permite acceder a
los recursos y ejecutar los programas de un equipo remoto en la red, de la
misma forma que si se tratara de una terminal real directamente conectado al
sistema remoto. Una vez establecida la conexión el usuario podrá iniciar la
sesión con su clave de acceso. De la misma manera que ocurre con el
protocolo FTP, existen servidores que permiten un acceso libre cuando se
especifica "anonymous" como nombre de usuario.
2.4.3.1.2 IRC.
1
Se pueden crear canales (obteniendo la condición de Operador) si el que
se desea no existe y esperar que otras personas ingresen en él. Se suele
entrar en las charlas con apodos (nick), sin dar el nombre real, de manera que
los usuarios conserven el anonimato. Cuando la última persona abandona un
canal, IRC lo elimina.
2.4.3.1.3 USENET.
Una de las áreas más populares de Internet son los grupos de discusión
o NewGroups.
3
La filosofía de las UseNet es la siguiente: Al dejar un mensaje, no sólo
se queda en el grupo en cuestión, sino que también les llega a todos los
usuarios suscritos al mismo, vía e– mail.
2.4.3.1.4 FINGER.
1
El servicio WhoIs contacta a un servidor que tiene información básica
sobre las redes que comprenden Internet, y los nombres de las personas que
dan mantenimiento. Por ejemplo la solicitud whois Harvard produce una lista de
todas las redes de la Universidad de Harvard y las companías que tienen
Harvard como parte de su nombre.
3
• Cuando un usuario tiene acceso autorizado, implica que tiene
autorizado el uso de un recurso.
Los problemas de seguridad del grupo amarillo son menos serios pero
también reseñables. Implican que el problema detectado no compromete
inmediatamente al sistema pero puede causarle serios daños o bien, que es
necesario realizar tests más intrusivos para determinar si existe o no un
problema del grupo rojo.
Imagen 10
3
Tabla — Porcentaje de Vulnerabilidades por tipo de sitio. Fuente:
http://www.trouble.org/survey
Desde 1990 hasta nuestros días, el CERT viene desarrollando una serie
de estadísticas que demuestran que cada día se registran más ataques
informáticos, y estos son cada vez más sofisticados, automáticos y difíciles de
rastrear.
Imagen 11
1
Detalle de Ataques. Fuente: (HOWARD, 1995)
Imagen 12
1
Vulnerabilidades reportadas al CERT 1988-2001.
http://www.cert.org/statistics
Imagen 13
3
Puede observarse que solo el 0,70% (267) de los incidentes fueron
reportados. Luego, si en el año 2000 se denunciaron 21.756 casos eso arroja
3.064.225 incidentes en ese año.
Nota III: Puede observarse que los incidente reportados en 1997 con
respecto al año anterior es menor. Esto puede deberse a diversas
causas:
Son muchos los autores que describen con detalle las técnicas y las
clasifican de acuerdo a diferentes características de las mismas. Ante la
diversificación de clasificaciones de amenazas y la inminente aparición de
nuevas técnicas, para la realización del presente los ataques serán clasificados
y categorizados según mi experiencia y conocimiento de cada caso.
Howard (2000) muestra una lista de términos asociada con los ataques
puede ser la siguiente:
Imagen 14
1
Al describirlos no se pretende dar una guía exacta ni las
especificaciones técnicas necesarias para su uso. Sólo se pretende dar una
idea de la cantidad y variabilidad de los mismos, así como que su adaptación (y
aparición de nuevos) continúa paralela a la creación de nuevas tecnologías.
Ataque Remoto como “un ataque iniciado contra una maquina sobre la
cual el atacante no tiene control físico”. Esta máquina es distinta a la usada por
el atacante y será llamada Víctima. (Howard, 1995)
1
• Asegurarse que las personas que llaman por teléfono son quien dicen
ser. Por ejemplo si la persona que llama se identifica como proveedor de
Internet lo mejor es cortar y devolver la llamada a forma de confirmación.
La ISI es más difícil de llevara cabo y por lo general se aplica cuando los
usuarios están alertados de acerca de las técnicas de IS. Puede usarse en
algunas situaciones específicas y después de mucha preparación e
investigación por parte del intruso:
2.5.4.3 TRASHING.
3
2.5.4.4.1 Shoulder surfing.
Los Decoy son programas diseñados con la misma interface que otro
original. En ellos se imita la solicitud de un logeo y el usuario desprevenido lo
hace. Luego, el programa guardará esta información y dejará paso a las
actividades normales del sistema. La información recopilada será utilizada por
el atacante para futuras “visitas”.
3
Las ventajas que caracterizan esta técnica es que no necesita de
privilegios especiales y su gran velocidad.
Imagen 15
3
Cuando las aplicaciones conectadas terminan la transferencia, realizaran
otra negociación a tres bandas con segmentos FIN en vez SYN.
Esta no es una nueva técnica de scaneo como tal, sino una modificación
de las anteriores. En lugar de enviar paquetes completos de sondeo, los
mismos se particionan en un par de pequeños fragmentos IP. Así, se logra
partir una cabecera IP en distintos paquetes para hacerlo más difícil de
monitorizar por los filtros que pudieran estar ejecutándose en la máquina
objetivo.
3
Sin embargo, algunas implementaciones de estas técnicas tienen
problemas con la gestión de este tipo de paquetes tan pequeños, causando
una caída de rendimiento en el sistema del intruso o en el de la víctima.
Problemas de esta índole convierte en detectables a este tipo de ataque.
Esto se realiza con Packet Sniffers, los cuales son programas que
monitorean los paquetes que circulan por la red. Los Sniffers pueden ser
colocados tanto en una estación de trabajo conectada a la red, como a un
equipo Router o a un Gateway de Internet, y esto puede ser realizado por un
usuario con legítimo acceso, o por un intruso que ha ingresado por otras vías.
Cada maquina conectada a la red (mediante una placa con una dirección
única) verifica la dirección destino de los paquetes TCP. Si estas direcciones
son iguales asume que el paquete enviado es para ella, caso contrario libera el
paquete para que otras placas lo analicen.
2.5.4.4.5 Snooping–Downloading.
1
electrónico y otra información guardada, realizando en la mayoría de los casos
un downloading (copia de documentos) de esa información a su propia
computadora, para luego hacer un análisis exhaustivo de la misma.
2.5.4.5.1 Spoofing–Looping.
2
alguien en nombre de la secretaría había cancelado la fecha verdadera y
enviado el mensaje a toda la nómina de estudiantes.
2.5.4.5.2 Spoofing.
2.5.4.5.2.1 IP Spoofing.
Imagen 16
2
En el caso Web Spoofing el atacante crea un sitio web completo (falso)
similar al que la víctima desea entrar. Los accesos a este sitio están dirigidos
por el atacante, permitiéndole monitorear todas las acciones de la víctima,
desde sus datos hasta las passwords, números de tarjeta de créditos, etc.
2.4.4.5.4 IP Splicing–Hijacking.
IP Cliente : IP 195.1.1.1
IP Servidor: IP 195.1.1.2
IP Atacante: IP 195.1.1.3
3
4. El atacante que ha visto, mediante un Sniffer, los paquete que
circularon por la red calcula el número de secuencia siguiente: el actual
+ tamaño del campo de datos. Para calcular el tamaño de este campo:
1
Este método comprende la obtención por “Fuerza Bruta” de aquellas
claves que permiten ingresar a los sistemas, aplicaciones, cuentas, etc.
atacados.
Imagen 17.TITULO
1
Los protocolos existentes actualmente fueron diseñados para ser
empleados en una comunidad abierta y con una relación de confianza mutua.
La realidad indica que es más fácil desorganizar el funcionamiento de un
sistema que acceder al mismo; así los ataques de Negación de Servicio tienen
como objetivo saturar los recursos de la víctima de forma tal que se inhabilita
los servicios brindados por la misma.
Más allá del simple hecho de bloquear los servicios del cliente, existen
algunas razones importantes por las cuales este tipo de ataques pueden ser
útiles a un atacante:
3. El intruso cree que actúa bien al dejar fuera de servicio algún sitio web
que le disgusta. Este accionar es común en sitios pornográficos,
religiosos o de abuso de menores.
Este tipo de ataques desactivan o saturan los recursos del sistema. Por
ejemplo, u atacante puede consumir toda la memoria o espacio en disco
disponible, así como enviar tanto tráfico a la red que nadie más pueda utilizarla.
1
Otra acción común es la de enviar millares de e-mails sin sentido a todos
los usuarios posibles en forma continua, saturando los sistemas destinos.
Se envía al destino, una serie de paquetes TCP con el bit SYN activado,
(petición de conexión) desde una dirección IP Spoofeada. Esta última debe ser
inexistente para que el destino no pueda completar el saludo con el cliente.
3
2.5.4.6.3 Connection flood.
3
Por ejemplo se envían un mensaje desde la dirección 10.0.0.1:139 hacia
ella misma. El resultado obtenido es que luego de cierta cantidad de mensajes
enviados–recibidos la máquina termina colgándose.
Imagen 18.TITULO
1
Suponiendo que se considere una red de tipo C la dirección de
BroadCast sería .255; por lo que el “simple” envío de un paquete se convierte
en un efecto multiplicador devastador.
1
es el término normal, pero realmente consiste en configurar el bit Urgente
(URG) en los indicadores del encabezamiento TCP, lo que significa que este bit
es válido.
2
Como siempre, esto puede ser realizado por Insiders o Outsiders,
generalmente con el propósito de fraude o de dejar fuera de servicio a un
competidor.
Múltiples Web Sites han sido víctimas del cambio en sus páginas por
imágenes (o manifiestos) terroristas o humorísticos, como el ataque de The
Mentor, ya visto, a la NASA; o la reciente modificación del Web Site del CERT
(mayo de 2001).
Las Huellas son todas las tareas que realizó el intruso en el sistema y
por lo general son almacenadas en Logs (archivo que guarda la información de
lo que se realiza en el sistema) por el sistema operativo.
Estos Applets, al fin y al cabo, no son más que código ejecutable y como
tal, susceptible de ser manipulado por intrusos. Sin embargo, partiendo del
diseño, Java siempre ha pensado en la seguridad del sistema. Las
restricciones a las que somete a los Applets son de tal envergadura
(imposibilidad de trabajar con archivos a no ser que el usuario especifique lo
contrario, imposibilidad de acceso a zonas de memoria y disco directamente,
firma digital, etc.) que es muy difícil lanzar ataques. Sin embargo, existe un
grupo de expertos (Safe Internet Programming) especializados en descubrir
fallas de seguridad (HAHP) en las implementaciones de las MVJ.
1
2.5.4.7.4 Ataques con Javascript Y VBScript.
3
confirmación al usuario a la hora de descargar otro control activo de la Web. Es
decir, deja totalmente descubierto, el sistema de la víctima, a ataques con
tecnología ActiveX.
Generalmente los navegadores no fallan por fallos intrínsecos, sino que fallan
las tecnologías que implementan, aunque en este punto analizaremos
realmente fallos intrínsecos de los navegadores, como pueden ser los “Buffer
Overflow”.
Los protocolo usado puede ser HTTP, pero también otros menos
conocidos, internos de cada explorador, como el “res:” o el “mk:”. Precisamente
existen fallos de seguridad del tipo “Buffer Overflow” en la implementación de
estos dos protocolos.
Para poder lanzar este tipo de ataques hay que tener un buen
conocimiento de lenguaje Assembler y de la estructura interna de la memoria
del sistema operativo utilizado o bien, leer la documentación de sitios web
donde explican estas fallas.
2
Muchos sistemas están expuestos a “agujeros” de seguridad que son
explotados para acceder a archivos, obtener privilegios o realizar sabotaje.
Cada una de las técnicas explicadas puede ser utilizadas por un intruso
en un ataque.
1
deberían) ser registradas, por el administrador del sistema, o al menos
detectadas para luego ser bloqueadas.
2
Quizás uno de los temas más famosos y sobre los que más mitos e
historias fantásticas se corren en el ámbito informático sean los Virus.
Pero como siempre en esta obscura realidad existe una parte que es
cierta y otra que no lo es tanto. Para aclarar este enigma veamos porque se
eligió la palabra Virus (del latín Veneno) y que son realmente estos “parásitos”.
2.5.5.1 Origen.
1
conocer en todo EE.UU. La erradicación de este gusano costó un millón de
dólares y demostró qué podía hacer un programa autorreplicable fuera de
control.
2
Se calcula que, en término medio, se infectan 40,6% computadoras al
año. La proporción de infecciones anuales ha crecido ampliamente, ya que en
1996 este índice era sólo del 12%.
Según la NCSA, si sólo un 30% de todos las PCs del mundo utilizaran
un antivirus actualizado y activo de forma permanente, se cortaría las cadena
de contagio y se acabaría con el fenómeno de los virus en todo el mundo.
1
proporción que las causadas por intrusos informáticos alcanzando los
U$S5.000 millones y U$S6.000 millones respectivamente
Borghello (2001) señala que actualmente las técnicas utilizadas por los
virus para logra su propagación y subsistencia son muy variadas y existen
aquellos que utilizan varias de ellas para lograrlo.
2
por regla general, facilidades para la transmisión de archivos, que
conllevan un gran riesgo en un entorno de red.
2
En los primeros 512 bytes de un disquete formateado se encuentran las
rutinas necesarias para la carga y reconocimiento de dicho disquete. Entre
ellas se encuentra la función invocada si no se encuentra el Sistema Operativo.
Es decir que estos 512 bytes se ejecutan cada vez que se intenta arrancar
(bootear) desde un disquete (o si se dejó olvidado uno en la unidad y el orden
de booteo de la PC es A: y luego C:). Luego, esta área es el objetivo de un
virus de booteo.
Imagen 20
3
archivo, tabla de partición, o en el sector de booteo, dependiendo del tipo de
virus que se trate.
2.5.5.3.2.4 Macrovirus.
Ejemplos:
De Microsoft Word: CAP I, CAP II, Concept, Wazzu.
De Microsoft Excel: Laroux.
De Lotus Amipro: GreenStripe
Imagen 21
2
(.ZIP por ejemplo), el usuario lo descomprime y al terminar esta acción, el
contenido (virus ejecutable) del archivo se ejecuta y comienza el daño.
Este tipo de virus tomó relevancia estos últimos años con al explosión
masiva de Internet y últimamente con el virus Melissa y I Love You.
Generalmente estos virus se auto envían a algunas de las direcciones de la
libreta. Cada vez que uno de estos usuarios recibe el supuesto mensaje no
sospecha y lo abre, ocurriendo el mismo reenvío y la posterior saturación de los
servidores al existir millones de mensajes enviados.
2
Si bien este tipo de programas NO cumplen con la condición de auto–
reproducción de los virus, encuadran perfectamente en la característica de
programa dañino.
Un virus está compuesto por su propio entorno, dentro del cual pueden
distinguirse tres módulos principales:
Imagen 22
1
— Módulos de los Virus Informáticos
1
f. Daños ilimitados: el virus “abre puertas” del sistema a personas no
autorizadas. El daño no lo ocasiona el virus, sino esa tercera persona
que, gracias a él, puede entrar en el sistema.
Tras su alias (nic), los creadores de virus sostienen que persiguen un fin
educacional para ilustrar las flaquezas de los sistemas a los que atacan. Pero...
¿es necesario crear un problema para mostrar otro?
Un antivirus es una gran base de datos con la huella digital de todos los
virus conocidos para identificarlos y también con las pautas que más contienen
los virus. Los fabricantes de antivirus avanzan tecnológicamente casi en la
misma medida que lo hacen los creadores de virus. Esto sirve para
combatirlos, aunque no para prevenir la creación e infección de otros nuevos.
3
identificación, erradicación del virus o eliminación de la entidad
infectada.
Imagen 23
2
— Modelo de un Antivirus
1
En cuanto a la puesta en circulación es difícil obtener una identificación
plena del responsable de la misma. Aunque en el caso de redes telemáticas es
posible encontrar rastros de la primera aparición del virus, es posible alterar
esa información. En cualquier caso, la responsabilidad de la persona que inicia
la cadena de efectos nocivos de un virus, planificando la difusión intencionada
del mismo a través de un medio está clara, pues el daño es perfectamente
previsible (aunque no su magnitud) y seguro.
2.5.5.8 Consejos.
1
VII. Instalar un buen antivirus para la detección y eliminación de nuevos
virus. Además es necesario actualizarlo frecuentemente. Como ya se ha
explicado la efectividad de un programa antivirus reside, en gran medida,
en su capacidad de actualización (preferentemente diaria).
XIII. Analizar siempre con un buen antivirus los disquetes que entran y
salen de la computadora. Si se utilizan disquetes propios en otros
lugares es aconsejable protegerlos contra escritura.
3
XVII. Añadir las opciones de seguridad de las aplicaciones que se
utilizan normalmente en la política de protección antivirus, ya que los
programas informáticos más utilizados se convierten, precisamente por
esta razón, en blanco de los autores de virus.
2.6 Protección
3
Los intrusos utilizan diversas técnicas para quebrar los sistemas de
seguridad de una red. Básicamente buscan los puntos débiles del sistema para
poder colarse en ella. El trabajo de los Administradores y Testers no difiere
mucho de esto. En lo que sí se diferencia, y por completo, es en los objetivos:
mientras que un intruso penetra en las redes para distintos fines (investigación,
daño, robo, etc.) un administrador lo hace para poder mejorar los sistemas de
seguridad.
Por regla general, las políticas son el primer paso que dispone a una
organización para entrar en un ambiente de seguridad, puesto que reflejan su
“voluntad de hacer algo” que permita detener un posible ataque antes de que
éste suceda (proactividad). A continuación se citan algunos de los métodos de
protección más comúnmente empleados.
1
1. Sistemas de detección de intrusos: son sistemas que permiten
analizar las bitácoras de los sistemas en busca de patrones de
comportamiento o eventos que puedan considerarse sospechosos,
sobre la base de la información con la que han sido previamente
alimentados. Pueden considerarse como monitores.
2. Auditoría.
6. Penetration Test.
3
2.6.1.2 Penetration test, ethical hacking, prueba de vulnerabilidad o
ataques simulados.
• Captura de tráfico.
1
• Autenticación de usuarios.
• Seguridad de la red.
2.6.1.3 Honeypots–Honeynets.
3
A un intruso le tomo menos de un minuto irrumpir en la computadora de
su universidad a través de Internet, estuvo dentro menos de media hora y a los
investigadores le tomo 34 horas descubrir todo lo que hizo.
2.6.2 Firewalls.
De hecho, los Firewalls no tienen nada que hacer contra técnicas como
la Ingeniería Social y el ataque de Insiders. Un Firewall es un sistema (o
conjunto de ellos) ubicado entre dos redes y que ejerce la una política de
seguridad establecida. Es el mecanismo encargado de proteger una red
confiable de una que no lo es (por ejemplo Internet).
— Firewall
Como puede observarse, el Muro Firewall, sólo sirven de defensa
perimetral de las redes, no defienden de ataques o errores provenientes del
interior, como tampoco puede ofrecer protección una vez que el intruso lo
traspasa.
1
Algunos Firewalls aprovechan esta capacidad de que toda la información
entrante y saliente debe pasar a través de ellos para proveer servicios de
seguridad adicionales como la encriptación del tráfico de la red. Se entiende
que si dos Firewalls están conectados, ambos deben “hablar” el mismo método
de encriptación desencriptación para entablar la comunicación.
En cambio, si se conectan dos redes del tipo LAN se utilizan Bridges, los
cuales son puentes que operan a nivel de Enlace
1. Protocolos utilizados.
3
Debido a su funcionamiento y estructura basada en el filtrado de
direcciones y puertos este tipo de Firewalls trabajan en los niveles de
Transporte y de Red del Modelo OSI y están conectados a ambos perímetros
(interior y exterior) de la red.
Gráficamente:
Imagen 25
3
— Bastión Host
Imagen 26
— Dual–Homed Host
1
sistema accesible desde el exterior, se ejecuta el Proxy de aplicaciones y en el
Choke se filtran los paquetes considerados peligrosos y sólo se permiten un
número reducido de servicios.
Imagen 27
— Screened Host
Imagen 28
2
— Screened Hosted
1
Generalmente son instalados cuando se requiere seguridad sensible al
contexto y en aplicaciones muy complejas.
a. Paradigmas de seguridad
b. Estrategias de seguridad
2
• Paranoica: se controla todo, no se permite nada.
• Prudente: se controla y se conoce todo lo que sucede.
• Permisiva: se controla pero se permite demasiado.
• Promiscua: no se controla (o se hace poco) y se permite
todo.
• ¿Cuánto costará? Estimando en función de lo que se
desea proteger se debe decidir cuanto es conveniente
invertir.
2
Los Firewalls también tienen otros usos. Por ejemplo, se pueden usar
para dividir partes de un sitio que tienen distintas necesidades de seguridad o
para albergar los servicios
WWW y FTP brindados.
2.6.4 WRAPPERS.
3
• Debido a que la seguridad lógica esta concentrada en un solo
programa, los Wrappers son fáciles y simples de validar.
Con lo mencionado hasta aquí, puede pensarse que los Wrappers son
Firewall ya que muchos de los servicios brindados son los mismos o causan los
mismos efectos: usando Wrappers, se puede controlar el acceso a cada
máquina y los servicios accedidos. Así, estos controles son el complemento
perfecto de un Firewall y la instalación de uno no está supeditada a la del otro.
3
Como se ha visto, la integridad de un sistema se puede corromper de
varias formas y la forma de evitar esto es con la instalación de sistemas de
Detección de Intrusos en Tiempo Real, quienes:
• Mantienen una base de datos con el estado exacto de cada uno de los
archivos (Integrity Check) del sistema para detectar la modificación de
los mismos.
3
La idea central de este tipo de detección es el hecho de que la actividad
intrusiva es un conjunto de actividades anómalas. Si alguien consigue entrar de
forma ilegal al sistema, no actuará como un usuario comprometido; su
comportamiento se alejará del de un usuario normal.
3
• Debe observar desviaciones sobre el comportamiento estándar.
3
2.6.5.1.3 Debilidades de IDS.
3
Partiendo de la premisa en que no se disponen de esa cantidad de años
para analizarlas por fuerza bruta, se deberá comenzar a probar con las claves
más posibles, comúnmente llamadas Claves Débiles.
Según los grandes números vistos, sería válido afirmar que: es imposible
encontrar ¡36 cuentas en 19 segundos! También debe observarse, en el
segundo estudio, que el porcentaje de hallazgos casi no varía entre un año y
una semana.
Tal vez, ¿esto sucedió porque existían claves nulas; que corresponde al
nombre del usuario; a secuencias alfabéticas tipo ‘abcd’; a secuencias
numéricas tipo ‘1234’; a secuencias observadas en el teclado tipo ‘qwer’; a
palabras que existen en un diccionario del lenguaje del usuario?. Sí, estas
claves (las más débiles) son las primeras en ser analizadas y los tiempos
obtenidos confirman la hipótesis.
3
3. Elegir una contraseña que mezcle caracteres alfabéticos (mayúsculas
y minúsculas) y numéricos.
1
4. No escribir la contraseña en ningún sitio. Si se escribe, no debe
identificarse como tal y no debe identificarse al propietario en el mismo
lugar.
1
Ejemplos de este tipo de contraseñas serian las basadas en funciones
unidireccionales (sencillas de evaluar en un sentido pero imposible o muy
costoso de evaluar en sentido contrario) y en listas de contraseñas.
2.6.9.1 NETBIOS.
1
luego debe evitarse permitir el acceso global a esos dispositivos, ya que es
posible el acceso de intrusos desde cualquier lugar externo a la red.
2.6.9.2 ICMP.
2.6.9.3 FINGER.
2.5.9.4 POP.
El servicio POP (puertos 109 y 110 en TCP) utilizado para que los
usuarios puedan acceder a su correo sin necesidad de montar un sistemas de
archivos compartidos. Se trata de un servicio que se podría considerar
peligroso, por lo que (como el resto, pero este especialmente) debemos
deshabilitarlo a no ser que sea estrictamente necesario ofrecerlo; en ese caso
debemos restringir al máximo los lugares y usuario desde los que se puede
acceder.
2.6.9.5 NNTP.
2
El servicio NNTP (puerto 119 en TCP) se utilizado para intercambiar
mensajes de grupos de noticias entre servidores de News. Los diferentes
demonios encargados de esta tarea suelen discriminar conexiones en función
de la dirección o el nombre de la máquina cliente para decidir si ofrece el
servicio a un determinado host, y si es así, concretar de qué forma puede
acceder a él (sólo lectura, sólo ciertos grupos, etc.).
2.6.9.6 NTP.
2.6.9.7 TFTP.
1
este servicio en ningún momento se solicita un nombre de usuario o una clave,
lo que da una idea de los graves problemas de seguridad que ofrece este
servicio.
2.6.9.8 FTP.
2.6.9.9 TELNET.
2
El protocolo TELNET (TCP, puerto 23) permite utilizar una máquina
como Terminal virtual de otra a través de la red, de forma que se crea un canal
virtual de comunicaciones similar (pero mucho más inseguro) a utilizar una
terminal físicamente conectada a un servidor.
TELNET no utiliza ningún tipo de cifrado, por lo que todo el tráfico entre
equipos se realiza en texto claro. Cualquier intruso con un Sniffer puede
capturar el Login y el password utilizados en una conexión otorgando a
cualquiera que lea esos datos un acceso total a la máquina destino. Es muy
recomendable no utilizar TELNET para conexiones remotas, sino sustituirlo por
aplicaciones equivalentes pero que utilizan cifrado para la transmisión de datos
(SSH o SSL–Telnet por ejemplo).
2.6.9.10 SMTP.
Hoy en día las conexiones a servidores web son sin duda las más
extendidas entre usuarios de Internet. En la actualidad mueve a diario millones
de dólares y es uno de los pilares fundamentales de muchas empresas: es por
tanto un objetivo muy atractivo para cualquier intruso.
1
que los datos que recibe el cliente desde el servidor sean los mismos
que se están enviando (esto es, que no sufran modificaciones de
terceros), y también garantizar que la información que el usuario envía
hacia el servidor no sea capturada, destruida o modificada por un
atacante.
Sea cual sea el servidor utilizado (IIS, Apache, NCSA, Netscape, etc.),
es necesario seguir un consejo básico: minimizar el número de usuarios en la
máquina y minimizar el número de servicios ofrecidos en ella; aunque lo normal
es que una máquina dedicada a cualquier tarea, sea también el servidor Web,
es recomendable que dicho servidor sea un equipo dedicado sólo a esa tarea.
2.6.10 Criptología.
2.6.10.1 Historia.
2
En el S. XII Roger Bacon y en el S. XV León Batista Alberti inventaron y
publicaron sendos algoritmos de encriptación basados en modificaciones del
método de Julio César.
2.6.10.2 Criptografía.
Imagen 29
Gráfico — Criptograma
1
La importancia de la Criptografía radica en que es el único método actual
capaz de hacer cumplir el objetivo de la Seguridad Informática: “mantener la
Privacidad, Integridad, Autenticidad...” y hacer cumplir con el No Rechazo,
relacionado a no poder negar la autoría y recepción de un mensaje enviado.
2.6.10.3 Criptoanálisis.
2.6.10.4 Criptosistema.
3
Los sistemas asimétricos deben cumplir con la condición que la clave
Pública (al ser conocida y sólo utilizada para cifrar) no debe permitir calcular la
privada. Como puede observarse este sistema permite intercambiar claves en
un canal inseguro de transmisión ya que lo único que se envía es la clave
pública.
2.6.10.4.1 Transposición.
Son aquellos que alteran el orden de los caracteres dentro del mensaje a
cifrar. El algoritmo de transposición más común consiste en colocar el texto en
una tabla de n columnas. El texto cifrado serán los caracteres dados por
columna (de arriba hacia abajo) con una clave K consistente en el orden en
que se leen las columnas.
1
carácter A le corresponde carácter D, esta correspondencia se mantiene
durante todo el mensaje.
ABCDEFGHIJKLMNOPQRSTUVWXYZ
DEFGHIJKLMNOPQRSTUVWXYZABC
SEGURIDADINFORMATICA
VHJXULGDGLQIRUPDWLFD
2
mitades, L y R. Luego se define un cifrado de producto iteractivo en el que la
salida de cada ronda es la entrada de la siguiente.
2.6.10.5.2 DES.
2
finalistas fueron MARS, RC–6, Serpent y TwoFish y Rijndael (que en octubre
sería el ganador).
2.6.10.5.3 IDEA.
2.6.10.5.4 BLOWFISH.
2.6.10.5.5 RC5.
2.6.10.5.6 CAST.
2
Este nuevo algoritmo belga mezcla de Vincent Rijmen y Joan Daemen
(sus autores) sorprende tanto por su innovador diseño como por su simplicidad
práctica; aunque tras él se esconda un complejo trasfondo matemático.
Ideado por los matemáticos Whitfield Diffie y Martín Hellman (DH) con el
informático Ralph Merkle a mediados de los 70, estos algoritmos han
demostrado su seguridad en comunicaciones inseguras como Internet. Su
principal característica es que no se basa en una única clave sino en un par de
ellas: una conocida (Pública) y otra Privada.
1
clave, la longitud del texto encriptado generado o su velocidad de cifrado
extremadamente largos.
2.6.10.6.1 RSA.
Este algoritmo fue ideado en 1977 por Ron Rivest, Adi Shamir y Leonard
Adleman (RSA). Es el más empleado en la actualidad, sencillo de comprender
e implementar, aunque la longitud de sus claves es bastante considerable (ha
pasado desde sus 200 bits originales a 2048 actualmente).
2
si los números primos son lo suficientemente grandes (alrededor de 200
dígitos).
Vale decir que nadie a demostrado que no pueda existir un método que
permita descifrar un mensaje sin usar la clave privada y sin factorizar N. Así,
aunque el algoritmo es bastante seguro conceptualmente, existen algunos
ataques que pueden ser efectivos al apoyarse sobre deficiencias en la
implementación y uso del mismo.
Las curvas elípticas fueron propuestas por primera vez para ser usadas
en aplicaciones criptográficas en 1985 de forma independiente por Miller y
Koblitz. Las curvas elípticas en sí llevan estudiándose durante muchos siglos y
están entre los objetos más ricamente estructurados y estudiados de la teoría
de números.
2.6.10.7 Autentificación.
2
Es de destacar que muchas de estas definiciones, pueden ser
encontradas en el texto del Proyecto de “Ley de Firma Digital” (ver Anexo
Leyes) actualmente con media sanción.
Una firma digital se logra mediante una Función Hash de Resumen. Esta
función se encarga de obtener una “muestra única” del mensaje original. Dicha
muestra es más pequeña y es muy difícil encontrar otro mensaje que tenga la
misma firma. Suponiendo que B envía un mensaje m firmado a A, el
procedimiento es:
b. B envía el criptograma.
1
Actualmente se recomienda utilizar firmas de al menos 128 bits (38
dígitos) siendo 160 bits (48 dígitos) el valor más utilizado.
2.6.10.7.1.1 MD5.
2.6.10.7.1.2 SHA–1.
1
2.6.10.8.1.2 Codificación de Mensajes.
Nótese que para que el mensaje pueda ser leído por múltiples
destinatarios basta con que se incluya en la cabecera cada una de las claves
públicas correspondientes.
Nótese que siempre que se quiere hacer uso de una clave privada,
habrá que suministrar la contraseña correspondiente, por lo que si este anillo
quedara comprometido, el atacante tendría que averiguar dicha contraseña
para descifrar los mensajes.
2.6.10.9 Esteganografía.
3
Consiste en ocultar en el interior de información aparentemente inocua,
otro tipo de información (cifrada o no). El texto se envía como texto plano, pero
entremezclado con mucha cantidad de “basura” que sirve de camuflaje al
mensaje enviado. El método de recuperación y lectura sólo es conocido por el
destinatario del mensaje y se conoce como “separar el grano de la paja”.
• Eficiencia: el costo del servicio no debe ser mayor que el precio del
producto o servicio.
1
La idea es que cualquiera que conozca la llave pública de la AC puede
autentificar un CD de la misma manera que se autentifica cualquier documento
físico. Si se confía en la AC, entonces se puede confiar que la clave pública
que figura en el Certificado es de la persona que dice ser.
3
9. Campos de extensión: Permiten la adición de nuevos campos a la
estructura sin que por ello se tenga que modificar la definición del
certificado.
2.6.11.1.2 SSL.
3
• Autentificación de servidores: el usuario puede verificar la identidad
del servidor al que se conecta y al que puede mandar datos
confidenciales.
3
modificados ni espiados mientras viajan desde el navegador hasta el
servidor. Lo que el servidor haga con ellos, está más allá de la
competencia de este protocolo.
2.6.11.1.3 TLS.
2.6.11.1.4 SET.
2
Además de poseer todas las características de SSL, el sistema
autentifica los titulares de las tarjetas, los comerciantes y los bancos, garantiza
la confidencialidad de la información de pago y asegura que los mensajes no
sean manipulados.
1
Imagen 31
El protocolo Secure SHell fue desarrollado en 1995 por Tatu Ylonen para
permitir un logueo seguro en terminales remotas, evitando el viaje de
passwords por redes inseguras; mediante el uso de comunicaciones cifradas.
El protocolo SSH se establece en tres capas:
1
Todos estos son utilizados con claves de 128 bits.
2.6.12.2 S/MIME.
2.6.12.3 SOCKS.
3
contrario, para el acceso desde el exterior de la organización (protegida con un
Firewall).
Debe notarse que Socks sólo autentifica las conexiones pero no produce
ningún tipo de cifrado de los datos por lo que se hace necesario combinarlo con
algún algoritmo que si lo haga (SSH, SSL, PPTP, IPSec, etc).
2.6.12.4 KERBEROS.
Kerberos fue creado para mitigar este problema de forma tal que el
usuario necesita autorización para comunicarse con el servidor (y esta es
confiable), se elimina la necesidad de demostrar el conocimiento de
información privada y de que esta viaje a través de la red.
2
• Autentificación Service (AS): Autentifica los usuarios y les
proporciona un ticket para realizar la comunicación con el servidor de
Tickets.
2
e. Solicitud de Servicio.
Imagen 32
• Autentificación de Usuario
1. Un usuario desde una Estación de Trabajo requiere un servicio.
3
• Escalabilidad: Esto significa poder decidir cuanta información puede
manejarse al mismo tiempo, y efectivamente poder hacerlo.
2.6.13.2 L2TP.
3
encapsuladas se pueden cifrar o comprimir. Cuando los túneles L2TP aparecen
como paquetes IP, aprovechan la seguridad IPSec estándar para obtener una
fuerte protección de integridad, reproducción, autenticidad y privacidad. L2TP
se diseñó específicamente para conexiones Cliente–Servidor de acceso a
redes y para conexiones Gateway a Gateway.
2.6.13.3 PPTP.
2.6.13.4 IPSEC.
2
antirreproducción y protege la autenticación del Host. AH provee
autenticación, integridad y protección a la replica (una transacción sólo
debe llevarse a cabo una vez) asegurando partes de la cabecera IP del
paquete.
Imagen 33
2.6.14 Inversión.
2
costos (la inversión que cada uno debe realizar) va de acuerdo con el tamaño y
potencialidades de las herramientas.
La red consiste en tales dispositivos como los routers, los firewalls, e incluso
hosts genéricos (incluyendo los servidores y estaciones de trabajo) que se
deben evaluar como parte del proceso de los ataques simulados.
2
vulnerabilidades de bajo nivel afectan todo lo que corre en la red. Es por ello
que se necesita evaluarlas y eliminarlas siempre que sea posible.
* Protocolos en uso.
2
* Pruebe los sistemas desde un panorama exterior e interior.
* Netcat (www.atstake.com/research/tools/network_utilities) la
herramienta más versátil de seguridad para chequeos de seguridad
como escaneo de puertos y pruebas de firewall.
3
2.7.2.2 Pruebas de valoración.
3
La mayor imagen de un escáner de puertos es que frecuentemente
descubre problemas de seguridad que muchas otras veces pasan
desapercibidas. Los escáneres de puertos son fáciles de usar y pueden probar
sistemas sin tener en cuenta sobre que sistema operativo o aplicaciones
trabajan. Las pruebas pueden ser llevadas a cabo muy rápido sin tener que
tocar hosts individuales en la red, lo cual sería muy atareado.
Escanear más que simplemente los hosts más importantes. Estos otros
sistemas frecuentemente lo pueden “morder” si se ignoran. También, desarrolle
las mismas pruebas con diferentes utilerías para ver cuando se obtienen
diferentes resultados. No todas las herramientas encuentran los mismos
puertos abiertos y vulnerabilidades. Esto es desafortunado, pero es una
realidad en las pruebas para los ataques simulados.
Como un hacker ético, se deben escanear todos los 65,535 puertos UDP
y 65.535 puertos TCP en cada host de la red que es encontrado por el escáner.
Si encuentra puertos dudosos, busque documentación para que la aplicación
sea conocida y autorizada.
3
Imagen 34
3
2.7.3.1.1 Ping sweeps.
5
Hacer ping sweep (barrido de ping) de toda la sub-red y hosts en la red,
es una buena forma de darse cuenta cuales hosts están vivos y perjudicando la
red. Un ping sweep es cuando haces ping un rango de direcciones usando
paquetes de Internet Control Message Protocol (ICMP, Protocolo de control de
mensajes de Internet). La imagen siguiente muestra los comandos y el
resultado al usar Nmap al llevar a cabo un ping sweeps en un rango de una
sub-red clase C.
Puede omitir esto si se quiere resolver nombres de hosts para ver que
sistemas están respondiendo. Resoluciones de nombre pueden tomar un poco
más.
Imagen 35
7
1. El escáner de puertos envía peticiones TCP SYN al host o rangos de
hosts que se especificaron.
2.7.3.1.2.1 SuperScan.
Imagen 36
1
En la imagen anterior se seleccionó las opciones Only Scan Responsive
Pings y All Selected Ports in List. De cualquier forma puede seleccionar otras
opciones:
2.7.3.1.2.2 Nmap.
1
• Conectar: Este tipo básico de escaneo TCP busca algún puerto TCP
abierto en los hosts. Se puede usar este tipo de escaneo para ver que
es lo que se está ejecutando y determinar cuales IDSs, firewalls, u otros
dispositivos de conexión están conectados.
• UDP Scan: Este tipo básico de escaneo UDP busca algún puerto UDP
abierto en los hosts. Puede usar este tipo de escaneo para ver que es lo
que se está ejecutando y determinar cuales IDSs, firewalls, u otros
dispositivos de conexión están conectados.
• SYN Stealth: Este tipo de escaneo crea una conexión TCP abierta a la
mitad, con los posibles hosts evadiendo sistemas IDS. Este es un buen
tipo de escaneo para probar IDSs, firewalls y otros dispositivos de
conexión.
• FIN Stealth, Xmas Tree, and Null: Estos tipos de escaneo, le permite
mezclar un poco las cosas, enviando extraños paquetes formados a los
hosts de red para que pueda ver como responden. Este escaneo
básicamente cambia las banderas en los encabezados TCP de cada
paquete, lo cual permite probar como se maneja cada host para señalar
las debilidades de implementación y parches TCP/IP que necesitarán
ser aplicados.
Imagen 37
1
2.7.3.1.3 Medidas de protección.
1
Imagen 38
1
Puede romper aplicaciones en la red, para asegurarse de que se analizó
lo qué está sucediendo, y entender cómo funcionan las aplicaciones y
protocolos, antes de que desactive dicho tráfico de la red como ICMP.
2.7.4.1 Vulnerabilidades.
Imagen 39
3
* Siempre desactiva el SNMP de un host si no está siendo usado.
Los banners son las pantallas de bienvenida que divulgan la versión del
software y otra información del host a un host de la red. Esta información del
banner puede identificar el sistema operativo, el número de versión, y los
específicos service packs, así que los “hackers” conocen las posibles
vulnerabilidades. Puede agarrar los banners usando telnet o Netcat.
2.7.5.1 Telnet.
* SMTP:
* HTTP:
* POP3:
Imagen 40
3
2.7.5.2 Netcat.
Netcat puede tomar información del banner de los routers y otros hosts
de red, como un punto de acceso inalámbrico o un switch Ethernet.
Imagen 41
1
* Si no hay necesidad comercial por los banners predefinidos, o si se
puede personalizar lo que despliegan los banners, configure la
aplicación del host de red o sistema operativo para desactivar los
banners o quitar la información de los banners que le podrían dar al
atacante una ayuda.
Como parte de los ataques simulados, se pueden probar las reglas del
firewall para asegurarse que están trabajando como se supone.
2.7.6.1 Probando.
Unas cuantas pruebas pueden verificar que el firewall hace lo que lo dice
que está haciendo realmente. Se pueden conectar a través de él en los puertos
que cree que estan abiertos, pero que de aquellos otros puertos que pueden
estar abiertos y no deben estarlo?
Imagen 42
3
Puede usar LANguard Networj Security Scanner y QualysGuard para
encontrar vulnerabilidades del sistema operativo y parches que necesitan ser
aplicados.
2.7.6.1.2 Netcat.
Netcat puede probar ciertas reglas de firewall sin tener que probar un
sistema de producción directamente. Por ejemplo, se puede verificar si el
firewall le permite al puerto 23 (telnet) acceder. Siga estos pasos para ver si
una conexión se puede hacer a través del puerto 23:
1
Si Netcat presenta un nuevo prompt de comandos (el cmd.exe para el
Paso 3) en la máquina externa, significa que esta conectado y está ejecutando
comandos en la máquina interna. Esto puede servir para múltiples propósitos,
incluso probando las reglas del firewall y ejecutando comandos en un sistema
remoto.
Estas utilerías prueban reglas del firewall más robustamente que Netcat:
1
* ¿Cómo se ven las réplicas de paquetes?¿Llegan de parte del host que
se está probando, o de un dispositivo intermediario?
3
realiza las funciones siguientes:
* Un hub en la red
Imagen 43
2
* Tipos de paquetes que no pertenecen, como NetBIOS en un
ambiente NetWare.
* Web surfing.
* E-mail.
* IM.
*Servidores ocultos (sobre todo Web, SMTP, FTP, y DHCP) que pueden
estar consumiendo ancho de banda de la red o software ilegal o incluso
acceso dentro de los hosts de la red.
Esto sobrescribe los datos más antiguos cuando el búfer se llene, pero
puede ser su única opción si la memoria y espacio de la unidad de disco
duro están limitados en su computadora.
1
guárdelo en el disco duro. Éste es el escenario ideal - sobre todo si tiene
una unidad de disco duro grande, de 50GB o más.
Puede llenar un gigabyte de su disco duro fácilmente en un periodo de
tiempo corto.
Imagen 44
Imagen 45
2
La siguiente imagen muestra como se ve la herramienta remota de
administración WANRemote (RAT Remote administration tool) a través de la
red usando EtherPeek. Muestra los comandos enviados para recibir los
archivos del drive local C:, procesps muertos UNIX y descarga X-Windows.
Imagen 46
Imagen 47
1
La siguiente imagen muestra una indicación de que un puerto
examinado está ejecutándose en la red. Este análisis muestra todos los
distintos protocolos y el número pequeño de paquetes, incluso Gnutella, telnet,
y rlogin.
Imagen 48
1
Verifique la red para un número alto de peticiones de ARP y de ICMP
que proporcionan a su tráfico global, como es mostrado en la siguiente imagen.
Imagen 49
Un analizador de red puede usarse para bien o para mal. Todas estas
1
pruebas pueden usarse en contra suya. Unas medidas de protección pueden
ayudar a prevenir el uso de un analizador de red no autorizado, pero no hay
ninguna manera completamente de prevenirlo.
2
computadora del atacante, en lugar del verdadero destino, cuando se
comunican por la red. A esto se le conoce como un ataque Man-in-the-Middle
(MITM).
1. Hacky envenena los caches de ARP de las víctimas Joe y Bob usando
el dsniff, el ettercap, o una utilería que él escribió.
Imagen 50
2
2.7.9.2 Spoofing de direcciones MAC.
Puede usar este truco para probar sistemas de control de acceso como
su IDS, firewall, e incluso sistemas operando con control loging que verifican
por una dirección MAC específica.
Puede usar una utilería de rasgos más ricos llamada MAC Changer
(www.alobbs.com/macchanger) para los sistemas Linux.
2.7.9.2.2 Windows.
1. Cargue el programa.
3
Puede tener que reiniciar para que funcione apropiadamente
Para revertir los cambios del Registro con SMAC, siga estos pasos:
Imagen 51
2.7.9.3.1 La prevención.
1
habilitar la seguridad puertos para prevenir los cambios automáticos a las
tablas de dirección MAC del switchs.
2.7.9.3.2 Detección.
Ataques DoS (negar el servicio) están entre los ataques más comunes
de un hacker. Un hacker comienza tantas peticiones inválidas a un organizador
de la red que usa todos sus recursos respondiéndole que ignora las peticiones
legítimas.
Los siguientes tipos de ataque de DoS son posibles contra lau red y
hosts, y puede causar daño en los sistemas, datos perdidos, y a cada usuario
saltar en su caso, mientras se pregunta cuando se restaurará el acceso a
Internet.
2
* Smurf attack: Un atacante spoofs la dirección de la víctima y envía
peticiones ICMP eco (paquetes del ping) a la dirección de la transmisión.
La computadora de la víctima se inunda con las toneladas de paquetes
en respuesta a ésas peticiones eco.
2.7.9.4.2 Probando.
2
* Bloquear todo el tráfico ICMP hacia el interior de la red a menos que
específicamente se necesite. Incluso entonces, sólo se debe permitirlo
en hosts específicos.
Beaver (2004) dice que las redes de área local inalámbricas (WLANs) —
específicamente, aquellas basadas en el estándar IEEE 802.11 — está
desplegándose cada vez más en ambos tipos de red, en el negocio y la casa.
1
Juntamente con la mensajería instante y grabadoras de video personal, las
WLANs son la tecnología más clara que se ha usado en un buen rato. Por
supuesto, con cada nueva tecnología, llegan más problemas de seguridad, y
WLANs no son la excepción. De hecho, la tecnología inalámbrica 802.11b ha
sido el un ícono para una débil seguridad de red y ataques de “hackers” en los
muchos años que lleva ejecutándose.
2
para preparar, dependiendo del tipo de tarjeta WLAN y la versión de Linux.
Para mantener simples las cosas, las pruebas que se enumeran en este
capítulo son utilerías basadas en Windows. Las siguientes herramientas
basadas en Windows, son las favoritas de muchos profesionales a la hora de
evaluar redes inalámbricas:
2
adicional aumenta la desigualdad de lo que se encuentre — y, más importante,
AP’s no autorizados. Puede escoger entre tres tipos principales de antenas
inalámbricas:
Imagen 52
2
Después de que tenga la dirección MAC del AP’s, vaya a la base de
datos de WLANs (www.wigle.net) para ver si su AP esta en lista. Debe
registrar en el sitio para realizar una consulta en la base de datos, pero vale la
pena. Después de que haber seleccionado el link de Consulta y haberse dado
de alta, verá una pantalla similar a la imagen siguiente. Puede entrar
información como del AP como las coordenadas geográficas, pero lo más
simple para hacer es entrar la dirección MAC en el formato mostrado.
Imagen 53
1
2.8.3.2 Examinando las ondas de aire locales.
* Nombre
1
* Encriptación encendida o apagada
Imagen 54
1
controles de seguridad inalámbrica normal y, así, puede causar serios
problemas de seguridad de entre las vulnerabilidades normales del estándar
802.11. La mejor manera de detectar esto es usar NetStumbler. También
puede usar un analizador de WLAN o un IDS inalámbrico y buscar paquetes
donde el campo ESS no sea igual a 1.
Imagen 55
2
WLAN. Las medidas de protección asociadas ayudana proteger su red de estas
vulnerabilidades, tales como ataques maliciosos previamente mencionados.
Cuando pruebe su seguridad en la WLAN, busque las siguientes debilidades:
* APs no autorizados
Imagen 56
2
texto claro justo como en un estándar de red alámbrico. El protocolo de
encriptación 802.11, Wired Equivalent Privacy (WEP), tiene su propia debilidad
que les permite a los “hackers” crackear las llaves encriptadas, y desencriptar
el tráfico capturado. Esta vulnerabilidad ha ayudado aponer las WLAN en el
mapa por así decirlo.
La solución más simple al problema WEP es usar un VPN para todas las
comunicaciones inalámbricas. Puede implementarla fácilmente en un ambiente
Windows — gratis — habilitando PPTP para las comunicaciones del cliente.
También puede usar el soporte IPSec construido en Windows, así como SSH,
SSL/TLS, y otras soluciones del vendedor, para mantener su tráfico seguro.
Estos problemas son muy a menudo pasados por alto al hacer las
instalaciones de prisa, planeación impropia, y falta de conocimiento técnico,
pero pueden regresar para causarle problemas después.
2
seguridad sin parchear, llaves WEP localizadas. Una vulnerabilidad seria es
para clientes inalámbricos que usan la tarjeta inalámbrica Orinoco. El software
Orinoco Client Manager guarda llaves codificadas WEP en el registro de
Windows — incluso para múltiples redes — como se muestra en la siguiente
imagen.
Imagen 57
Imagen 58
2
* Instale software antivirus.
1. Descargue el programa de
www.mobileaccess.de/wlan/dl.php/pong_v1.1.zip.
Imagen 59
3
2.8.9.1 Medidas de protección.
Imagen 60
3
2.9 Políticas de seguridad.
1
En este sentido, las Políticas de Seguridad Informática (PSI), surgen
como una herramienta organizacional para concientizar a cada uno de los
miembros de una organización sobre la importancia y sensibilidad de la
información y servicios críticos. Estos permiten a la compañía desarrollarse y
mantenerse en el sector de negocios.
3
Plan: conjunto de decisiones que definen cursos de acción futuros y los
medios para conseguirlos. Consiste en diseñar un futuro deseado y la
búsqueda del modo de conseguirlo.
3
• Ser holística (cubrir todos los aspectos relacionados con la misma). No
tiene sentido proteger el acceso con una puerta blindada si a esta no se
la ha cerrado con llave.
3
• “¿Con qué frecuencia puede ocurrir?”
• “¿Se está preparado para abrir las puertas del negocio sin sistemas,
por un día, una semana, cuanto tiempo?”
Imagen 61
1
Tipo de Riesgo - Factor
Según esta tabla habrá que tomar las medidas pertinentes de seguridad
para cada caso en particular, cuidando incurrir en los costos necesarios según
el factor de riesgo representado.
Imagen 62
1
— Valuación de Riesgos
Una vez conocidos los riesgos, los recursos que se deben proteger y
como su daño o falta pueden influir en la organización es necesario identificar
cada una de las amenazas y vulnerabilidades que pueden causar estas bajas
en los recursos. Como ya se mencionó existe una relación directa entre
amenaza y vulnerabilidad a tal punto que si una no existe la otra tampoco.
3
Para que la política de seguridad sea lógica y consistente se debe
cumplir que:
• CR > CP: o sea que un ataque para obtener los bienes debe ser más
costoso que el valor de los mismos. Los beneficios obtenidos de romper
las medidas de seguridad no deben compensar el costo de desarrollo del
ataque.
• CP > CS: o sea que el costo de los bienes protegidos debe ser mayor
que el costo de la protección.
Luego, CR > CP > CS y lo que se busca es:
1
Una vez evaluados los riesgos y los costos en los que se está dispuesto
a incurrir y decidido el nivel de seguridad a adoptar, podrá obtenerse un punto
de equilibrio entres estas magnitudes:
Imagen 63
3
Con respecto a la postura que puede adoptarse ante los recursos
compartidos:
• Lo que no se permite expresamente está prohibido: significa que la
organización proporciona una serie de servicios bien determinados y
documentados, y cualquier otra cosa está prohibida.
2.9.3.1 Implementación.
1
• Requerimientos mínimos para la configuración de la seguridad de los
sistemas al alcance de la política.
• Por otra parte, la política debe especificar la autoridad que debe hacer
que las cosas ocurran, el rango de los correctivos y sus actuaciones que
permitan dar indicaciones sobre la clase de sanciones que se puedan
imponer. Pero, no debe especificar con exactitud qué pasara o cuándo
algo sucederá; ya que no es una sentencia obligatoria de la ley.
Imagen 64
1
— Fuente: Manual de Seguridad en Redes. http://www.arcert.gov.ar
Para que todo lo anterior llegue a buen fin debe realizarse un control
periódico de estas políticas, que asegure el fiel cumplimiento de todos los
procedimientos enumerados. Para asegurar un marco efectivo se realiza una
auditoría a los archivos Logs de estos controles.
1
implementación del mismo, el personal se enfrentará con problemas técnicos,
humanos y administrativos muchos mayores que implicaran mayores costos
para lograr, en la mayoría de los casos, un menor grado de seguridad.
Julio C. Ardita menciona: “Muchas veces nos llaman cuando está todo listo,
faltan dos semanas y quieren que lo aseguremos (...) llegamos, miramos y
vemos que la seguridad es imposible de implementar. Últimamente nos llaman
en el diseño y nosotros los orientamos y proponemos las soluciones que se
pueden adoptar (...)”
Queda claro que este proceso es dinámico y continuo, sobre el que hay
que adecuarse continuamente a fin de subsanar inmediatamente
cualquier debilidad descubierta, con el fin de que estas políticas no
caigan en desuso.
2
Se entiende por Recuperación, “tanto la capacidad de seguir trabajando
en un plazo mínimo después de que se haya producido el problema, como la
posibilidad de volver a la situación anterior al mismo, habiendo reemplazado o
recuperado el máximo posible de los recursos e información”.
2.9.3.5 Backups.
2
El Backup de archivos permite tener disponible e íntegra la información
para cuando sucedan los accidentes. Sin un backup, simplemente, es
imposible volver la información al estado anterior al desastre.
3
Se debe asegurar reproducir toda la información necesaria para la
posterior recuperación sin pasos secundarios. Por ejemplo, existe información
que es función de otra (checksums). Si sólo se almacenara la información
principal, sin sus checksums, esto puede derivar en la inutilización de la misma
cuando se recupere el backup.
2.9.3.6 Pruebas.
2.9.4 Políticas.
3
usuario individual) y, posteriormente requerirá actualizaciones periódicas
asegurando el dinamismo sistemático ya mencionado.
Directivas:
3. Ataque: No existe.
4. Estrategia Proactiva:
a. Predecir posibles daños: pérdida de equipos e información.
5. Estrategia Reactiva:
a. Evaluar daños: perdida de hardware e información.
2
c. Documentar y aprender
2
Los procedimientos simples mencionados pueden evitar grandes dolores
de cabezas.
Directivas:
4. Estrategia Proactiva:
a. Predecir posibles daños: pérdida de productividad por espacio
de disco/memoria agotados.
d. Capacitar el usuario.
5. Estrategia Reactiva:
1
2.9.4.2.1.2 Amenaza malintencionada (Insider).
Directivas:
2. Amenaza: Insider.
4. Estrategia Proactiva:
5. Estrategia Reactiva:
d. Documentar y aprender.
3
Un virus ingresa a la empresa mediante un mail enviado a un empleado,
y comienza a expandirse dentro de la misma tomando como base la libreta de
direcciones de los usuarios:
Directivas:
2. Amenaza: Virus.
4. Estrategia Proactiva:
5. Estrategia Reactiva:
d. Documentar y aprender.
Directivas:
1
8. Amenaza: Outsider recopilando información significativa.
h. Reparación de daños.
i. Documentar y aprender.
3
III RESULTADOS Y DISCUSIÓN
3
* El 28 % de los factores que causan pérdida de información, son
causados por el error humano. Es por eso que la capacitación de usuarios es
un punto crucial para la seguridad de una red.
3
IV CONCLUSIONES
Aislamiento vs globalización
Legislación vigente
Tecnología existente.
Daños minimizables.
3
Muchas veces vasta con restringir accesos a información no utilizada o
que no corresponde a los fines planteados. Otras veces la capacitación será la
mejor herramienta para disminuir drásticamente los daños.
Riesgos manejables
Costos
V BIBLIOGRAFÍA
Joe Harris, Cisco Network Security Little Black Book. The Coriolis Group,
LLC. Scottsdale, Arizona, USA 2002. 293 p.
Mas de 3
Jae, K. Shin. et al. 2000.The Internatonal Handbook of Computer Security.
The Gleenlake Publishing Company, Ltd. Broadway, New York, USA.
274 p.
Borghello, Cristian Fabian. Tesis. Seguridad Informática, sus implicancias
e implementación, 2001.Universidad Tecnológica Nacional.
1
GONCALVES, Marcus. Firewalls Complete. Beta Book. McGraw Hill.
1997. EE.UU. Página 25
www.securityfocus.com
www.recoverylabs.com
3
Computers Chaos Club. http://www.ccc.de
Leopold, George. “Infowar: Can bits really replace bullets?” EE Times, Nov
6, 1995. Schuba, Christopher and Eugene Spafford. “Addressing
Weaknesses in the Domain Name System Protocol,” 1993, disponible
desde ftp://coast.cs.purdue.edu/pub
3
VI APÉNDICES
Apéndice A
Uso de un software para contraseñas
El siguiente software llamado PAnGen, es utilizado para verificar si la
contraseña existente es fuerte. También con este software se puede generar
nuevas contraseñas.
3
Esta es la sección donde se introduce la contraseña. Se puede verificar
la seguridad de la contraseña escrita (pobre, media, buena). Si la casilla de
verificación está activada, el texto escrito no se podrá ver.
1
Muy brevemente, así es como funciona el analizador de contraseñas.
Ahora revisaremos cómo funciona el generador de contraseñas. La siguiente
imagen muestra el ambiente gráfico.
Apéndice B
No sea exagerado
3
Depende de usted, hacer un caso bueno y poner la seguridad de información y
la necesidad de un ataque simulado en un ámbito de dirección superior.
Simplemente no vuelva las cosas a un nivel fuera de proporción a fin de
introducir temor, incertidumbre, y duda. Enfóquese en educar a los ejecutivos
superiores con un consejo práctico. Un miedo racional que sea proporcional a
la amenaza está bien. No exagere.
Involúcrese en la Empresa
1
* Asista a las reuniones para conocer y que lo conozcan. Esto puede
ayudar a demostrar que le interesa la empresa.
* Sea una persona de valor que está interesado en contribuir a la
empresa.
Establezca Su Credibilidad
Hable en Su Nivel
1
No esté a la defensiva. La seguridad es un proceso a largo plazo, no un
producto a corto plazo, o una simple valoración.
Apendice C
Diez Errores Mortales
Conseguir una aprobación para sus esfuerzos en los ataques simulados —si es
de parte de un gerente superior o un cliente— es algo obligatorio. Es su tarjeta
“salga de la cárcel gratis”.
1
Asumir que puede encontrar todas las vulnerabilidades durante las
pruebas.
* Sea realista.
* Use buenas herramientas.
* Conozca sus sistemas y practique para mejorar sus técnicas.
Ejecutar sus pruebas sin ver las cosas desde el punto de vista de un
Hacker
Enfóquese en los sistemas y pruebe los que más importan. Puede hachear
todo el día en un escritorio ejecutando MS-DOS desde un disco de 5 1/4 sin
tarjeta de red y sin drive, pero ¿hace algún bien?
1
Sin las herramientas correctas para la tarea, es casi imposible de conseguir
algo. Descargue las herramientas libres mencionadas. Cree su caja de
herramientas con el tiempo. Esto le ahorrará esfuerzo e impresionará a otros
con los resultados
Apéndice D
“HACKERS” Y CRACKERS FAMOSOS
DRAPER JOHN, “CAPTAIN CRUNCH”
En septiembre de 1970 John Draper, también conocido como Captain Crunch,
descubre que el obsequio ofrecido en las cajas de cereal Captain Crunch
duplica perfectamente la frecuencia de tono de 2600 hz. de una línea de
WATS, permitiéndole hacer llamadas telefónicas gratis y la gran víctima era
AT&T.
ING-HOU CHEN
Taipei, Taiwan, Abril 30 de 1999. El autor del virus “Chernobyl”, dijo a los
investigadores que el creó el bug con la esperanza de humillar y vengarse de
los que llamo “proveedores incompetentes de antivirus para software”. Pero él
admitió que no esperaba que CIH (iniciales de su autor) causara daño
alrededor del mundo. Este virus devastó cientos de miles de computadoras
3
alrededor del mundo. Chen creó el virus en Abril, cuando todavía era
estudiante de ingeniería computacional en el Instituto Tecnológico.
Este inusual virus destructivo, programado para funcionar el 26 de Abril, (13°
aniversario del desastre nuclear de Chernobyl), trata de borrar el disco rígido y
escribir “basura” en algunos otros componentes, evitando de este modo el
futuro encendido de la computadora.
KEVIN Y RONALD
Ronald y Kevin, con los nombres de guerra Makaveli y TooShort en el
ciberespacio, asaltaron los ordenadores del Pentágono en Marzo del año 1998,
a la tierna edad de 17 años. Estos dos forajidos virtuales, con sus
conocimientos y con un equipo básico informático, se introdujeron en cuatro
sistemas de la Marina y siete de las fuerzas aéreas, relacionados con centros
digitales en Estados Unidos y Okinawa.
LA MACCHIA DAVID
En 1994 David La Macchia, estudiante de 20 años del prestigioso y serio MIT,
reconoce que ha distribuido en Internet multitud de programas informáticos
obtenidos sin licencia y por valor de un millón de dólares. Para ofrecerlos a los
cibernautas montó su propia BBS.
LEVIN VLADIMIR
Un matemático ruso de 24 años, penetró vía Internet desde San Petersburgo
en los sistemas informáticos centrales del banco Citybank en Wall Street, Este
pirata logró transferir a diferentes cuentas de EE.UU., Rusia, Finlandia,
Alemania, Israel, Holanda y Suiza fondos por valor de 10 millones de dólares,
según el FBI. Detenido en el Reino Unido a principios de 1995, Levin espera
que los tribunales británicos se pronuncien sobre una demanda de extradición
solicitada por EE.UU.
2
Más tarde, y ya en libertad, se apoderó de 16 códigos de seguridad de MCI y
junto a un amigo, Lenny DiCicco, entraron a la red del laboratorio de
investigaciones de Digital Corporation, conocida como Easynet. Ambos
“hackers” querían obtener una copia del prototipo del nuevo sistema operativo
de seguridad de Digital llamado VMS. El personal de seguridad de Digital se
dio cuenta inmediatamente del ataque y dieron aviso al FBI, y comenzaron a
rastrear a los “hackers”.
Este caso produjo revuelo en los Estados Unidos, no sólo por el hecho delictivo
sino por la táctica que utilizó la defensa. Su abogado convenció al juez que
Mitnick sufría de una adicción por las computadoras equivalente a la de un
drogadicto, un alcohólico o un apostador. Gracias a esta maniobra de la
defensa Mitnick fue sentenciado a sólo un año de prisión y al salir de allí debía
seguir un programa de seis meses para tratar su “adicción a las
computadoras”. Durante su tratamiento le fue prohibido tocar una computadora
o un módem y llegó a perder más de 45 kilos.
Para 1991 ya era el hacker que había ocupado la primera plana del New York
Times y uno de sus reporteros, John Markoff, decidió escribir un libro de estilo
Cyberpunk narrando las aventuras de Mitnick. Al parecer a Mitnick no le gustó
el libro ya que luego de salir a la venta, la cuenta en Internet de Markoff fue
invadida, cambiando su nivel de acceso, de manera de que cualquier persona
en el mundo conectada a Internet podía ver su correo electrónico.
2
visto. El intruso le había robado su correo electrónico, software para el control
de teléfonos celulares y varias herramientas de seguridad en Internet. Allí
comenzó la cuenta regresiva para Mitnick. Shimomura se propuso como orgullo
personal atrapar al hacker que había invadido su privacidad.
Kevin Mitnick, este sencillo nombre, oculta la verdadera identidad de uno de los
mayores crackers de la historia. Fue una de las mayores pesadillas del
Departamento de justicia de los Estados Unidos. Entró virtualmente en una
base de misiles, llegó a falsificar 20.000 números de tarjetas de crédito y a
causar pérdidas millonarias a varias empresas.
MORRIS ROBERT
En noviembre de 1988, Morris lanzó un programa “gusano”, diseñado por él
mismo, buscando debilidades en sistemas de seguridad, y que pudiera correrse
y multiplicarse por sí solo. La expansión exponencial de este programa causó
el consumo de los recursos de y más de 6000 sistemas resultaron dañados o
fueron seriamente perjudicados. Eliminar al gusano de sus computadoras
causo a las víctimas muchos días de productividad perdidos, y millones de
dólares.
En 1981, no había leyes muy claras para prevenir el acceso no autorizado a las
computadoras militares o gubernamentales. “Captain Zap” mostró la necesidad
de hacer más clara la legislación. Con cargos de robo de propiedad, finalmente,
Murphy fue multado por US$ 1000 y sentenciado a 2½ años de prueba.
“PAINT” Y “HAGIS”
Estos son los seudónimos de los dos “hackers” que el 10 de Diciembre de 1997
accedieron a uno de los buscadores más utilizados en Internet. Los terroristas
informáticos autodenominados "Paints & Hagis", accedieron al servidor del
popular navegador Yahoo! Y dejaron un mensaje amenazante a los casuales
3
visitantes. Este ataque no resultó ser más de una modificación de una página
web, y un ejemplo temprano de las muchas que se modifican hoy día a día.
Como Cracker, siguió el mismo camino que Kevin Mitnick, pero fue más
conocido por su habilidad para controlar el sistema telefónico de Pacific Bell.
Incluso llegó a “ganar” un Porsche en un concurso radiofónico, si su llamada
fuera la 102, y así fue. Poulsen también crackeó todo tipo de sitios, pero él se
interesaba por los que contenían material de defensa nacional. Esto fue lo que
lo llevó a su estancia en la cárcel, 5 años, fue liberado en 1996, supuestamente
“reformado”.
SMITH DAVID
Programador de 30 años, detenido por el FBI y acusado de crear y distribuir el
virus que ha bloqueado miles de cuentas de correo, “Melissa”. Entre los cargos
presentados contra él, figuran el de “bloquear las comunicaciones publicas” y
de “dañar los sistemas informáticos”. Acusaciones que en caso de demostrarse
en el tribunal podrían acarrearle una pena de hasta 10 años de cárcel.
2
Fraude Computacional y Abuso. Zinn tenia 16 cuando violó el acceso a AT&T y
los sistemas del Departamento de Defensa. Fue sentenciado el 23 de enero de
1989, por la destrucción del equivalente a US$ 174000 en archivos, copias de
programas, los cuales estaban valuados en millones de dólares, además
publico contraseñas y instrucciones de cómo violar la seguridad de los
sistemas computacionales. Zinn fue sentenciado a 9 meses de cárcel y a una
fianza de US$ 10000.
“HACKERS”
ARDITA JULIO CESAR, “EL GRITÓN”
Es considerado el hacker más famoso de Argentina. Nació en Río Gallegos, el
28 de marzo del 1974. Utilizó su primera computadora mientras realizaba su
secundaria. En quinto año, junto con dos compañeros ayudaron a informatizar
el sistema de notas y facturación del colegio en el cual estudiaba.
En la causa argentina número 45048/95, con carátula "Ardita Julio C., sobre
defraudación", el juzgado de Instrucción número 38 a cargo de la jueza Wilma
López, dispuso que Ardita compareciera ante un tribunal oral pero por fraude
telefónico (estimado por la empresa Telecom en $50), ya que las intrusiones
informáticas no están contempladas en el Código Penal.
Sin embargo, por el mismo episodio, Ardita ya tuvo que recorrer una espinosa
demanda penal en los Estados Unidos, donde las intrusiones informáticas, las
violaciones de códigos secretos y la posesión de claves ajenas sí son delitos
graves. El proceso terminó el 19 de mayo 1999, cuando un tribunal de la ciudad
de Boston, lo condenó a 3 años de libertad condicional y a pagar una multa de
U$S5000 por haber vulnerado, entre otros varios, el sistema informático de la
Marina.
Hoy en día, con 27 años, Julio Cesar Ardita paga religiosamente sus facturas
telefónicas; se levanta temprano por las mañanas y camina hasta la zona de
Tribunales. Allí está Cybsec S.A., la exitosa empresa de seguridad informática
que el ex–Gritón administra junto a su socio.
BARAM PAUL
Posiblemente el mayor hacker de la historia. Ya hackeaba Internet antes de
que existiera. El fué quien introdujo el concepto de hacker.
FARMER DAN
2
Trabajó con Spafford en la creación de COPS (1991) y al mismo tiempo con el
famoso Computer Emergency Response Team (CERT). Tiempo más tarde
Farmer ganó gran notoriedad al crear el System Administrator Tool for
Analyzing Networks (SATAN). Una gran herramienta para analizar
vulnerabilidades en redes.
SPAFFORD EUGENE
Profesor de informática. Colaboró para crear el Computer Oracle Password
Security System (COPS) un sistema de seguridad semiautomático. Es un
hombre muy respetado en el campo de la seguridad.
STALLMAN RICHARD
Se unió al Laboratorio de inteligencia artificial de la MIT en 1971. Fue ganador
del premio McArthur por sus desarrollos de software. Fue fundador de Free
Software Foundation, creando aplicaciones y programas gratis.
TORVALDS LINUS
Torvalds empezó a conocer el UNIX y a tomar clases de programación en C
sobre los 90. Un año después empezó a escribir un SO parecido al UNIX.
Después de otro año, lo subió a Internet pidiendo colaboración; hoy es llamado
LINUX.
VEHEMA WIETSE
Vehema viene de la Universidad de Tecnología de Eindhoven, en los Países
Bajos. Un gran programador, con un don para ello, además de tener un amplio
historial en programas sobre seguridad. Es el coautor del SATAN con Farmer.
Vehema escribió el TCP Wrapper, uno de los programas de seguridad más
usado en el mundo.