Envia per correu-e aquest* Article
|
Notícies :: sanitat |
Tampering o data diddling
|
|
per D-BITS |
21 mar 2008
|
|
Tampering o data diddling
Esta categoría se refiere a la modificación desautorizada a los datos, o
al software instalado en un sistema, incluyendo borrado de archivos. Este
tipo de ataques son particularmente serios cuando el que lo realiza ha
obtenido derechos de administrador o supervisor, con la capacidad de
disparar cualquier comando y poder alterar o borrar cualquier información
que puede incluso terminar en la baja total del sistema en forma
deliberada. O aún si no hubo intenciones de ello, el administrador
posiblemente necesite dar de baja por horas o días hasta chequear y tratar
de recuperar aquella información que ha sido alterada o borrada. Como
siempre, esto puede ser realizado por insiders o outsiders, generalmente
con el propósito de fraude o dejar fuera de servicio un competidor.
SPOOFING
Esta técnica es utilizada para actuar en nombre de otros usuarios,
usualmente para realizar tareas de snoofing o tampering. Una forma común
de spoofing, es conseguir el nombre y password de un usuario legítimo
para, una vez ingresado al sistema, tomar acciones en nombre de él, como
puede ser el envío de falsos e-mails SPAM¿?.
JAMMING o FLOODING
Este tipo de ataques desactivan o saturan los recursos del sistema. Por
ejemplo, un atacante puede consumir toda la memoria o espacio en disco
disponible, así como enviar tanto tráfico a la red que nadie más puede
utilizarla.
Muchos ISPs ( proveedores de Internet) han sufrido bajas temporales del
servicio por ataques que explotan el protocolo TCP. Aquí el atacante
satura el sistema con mensajes que requieren establecer conexión. Sin
embargo, en vez de proveer la dirección IP del emisor, el mensaje contiene
falsas direcciones IP (o sea que este ataque involucra también spoofing).
El sistema responde al mensaje, pero como no recibe respuesta, acumula
buffers con información de las conexiones abiertas, no dejando lugar a las
conexiones legítimas.
OBTENCIÓN DE PASSWORDS, CÓDIGOS Y CLAVES
Este método (usualmente denominado cracking), comprende la obtención "por
fuerza bruta" de aquellas claves que permiten ingresar a servidores,
aplicaciones, cuentas, etc. Muchos passwords de acceso son obtenidos
fácilmente porque involucran el nombre u otro dato familiar del usuario,
que además nunca lo cambia. En esta caso el ataque se simplifica e
involucra algún tiempo de prueba y error.
¿Métodos para Efectuar Ataques contra la
Información?
Spoofing, Cracking, Eavesdropping, Tampering, Flooding y Packet Sniffing son métodos utilizados para perpetrar ataques a la seguridad informática.
Términos como "Hackear" y "Crackear", se han escuchado desde hace ya bastante tiempo. Lo que muchos aún no conocen es que la terminología se ha incrementado bastante y los nombres y métodos de violacióin de información también han evolucionado de la mano de la tecnolgía.
Los nuevos métodos de ataque han sido automatizados, por lo que, en muchos casos, solo es necesario tener un conocimiento técnico básico para realizarlos. Los asaltantes de redes tienen acceso a numerosos programas, "scripts", sitios Web y tableros de información en donde encuentra detalladas instrucciones para ejecutar ataques.
¿Por qué atacan?
Los ataques pueden servir a varios objetivos que incluyen fraude, extorsión, robo de información, venganza o simplemente el desafío de penetrar un sistema. Este puede ser realizado por empleados internos que abusan de sus permisos de acceso, o por atacantes externos que acceden en forma remota o interceptando el tráfico de red.
¿Cómo atacan?
Durante los primeros años de los sistemas de información, los ataques involucraban poca sofisticación técnica. Los "insiders" -empleados inconformes o personas externas con acceso a sistemas dentro de la empresa- utilizaban sus permisos para alterar archivos o registros; al tiempo que los "outsiders" -individuos que atacan desde afuera de las empresas- ingresaban a la red simplemente averiguando una clave de acceso válida.
Durante años, se han desarrollado formas cada vez más sofisticadas de ataques para explotar "agujeros" en diseño, configuración y operación de los sistemas. Esto permitió a los nuevos atacantes tomar control de sistemas completos, produciendo verdaderos desastres y cuantiosas pérdidas en las empresas que tienen un alto grado de dependencia tecnológica. Los nuevos métodos de ataque han sido automatizados, por lo que en muchos casos solo es necesario tener un conocimiento técnico básico para realizarlos. El aprendiz de intruso tiene acceso ahora a numerosos programas y "scripts", sitios Web y tableros de información en donde encuentra detalladas instrucciones para ejecutar ataques
Los métodos de ataque descritos a continuación están divididos en categorías generales que pueden estar relacionadas entre sí, ya que el uso de un método en una categoría permite el uso de otros métodos en las demás. Por ejemplo: después de "crackear" una clave de acceso, un intruso ingresa como usuario legítimo a una red para navegar entre los archivos y explotar vulnerabilidades del sistema. Eventualmente, el atacante puede adquirir derechos de ingreso a lugares que le permitan dejar un virus o instalar bombas lógicas para paralizar todo un sistema antes de huir.
Métodos y herramientas de ataque
A continuación, los métodos más utilizados para efectuar ataques a redes y sistemas de información:
1. Eavesdropping y Packet Sniffing. Muchas redes son vulnerables al "eavesdropping", o intercepción pasiva (sin modificación) del tráfico de red. En Internet esto es realizado por "packet sniffers", programas que monitorean los paquetes de red direccionados al computador donde están instalados. El "sniffer" puede ser colocado tanto en una estación de trabajo conectada a la red, como a un enrutador o a un gateway de Internet, y esto puede ser realizado por un usuario con legítimo acceso, o por un intruso que ha ingresado por otras vías. Este método también se utiliza para capturar identificaciones de usuarios (loginIDs) y passwords que, generalmente viajan sin encriptación cuando se conectan a sistemas remotos. También son utilizados para capturar números de tarjetas de crédito y direcciones de correo electrónico entrantes y salientes. El análisis de tráfico puede ser utilizado también para determinar relaciones entre organizaciones e individuos.
2. Snooping y Downloading. Los ataques de esta categoría tienen el mismo objetivo que el sniffing: obtener la información sin modificarla. Sin embargo los métodos son diferentes. Además de interceptar el tráfico de red, el atacante ingresa a los documentos, mensajes de e-mail y a otra información almacenada, para luego descargarla (download) a su propio computador. El "snooping" puede ser realizado por simple curiosidad, pero también es realizado con fines de espionaje y robo de información o software. Los casos mas famosos de este tipo de ataques fueron: el robo de un archivo con más 1,700 números de tarjetas de crédito desde una compañía de música internacional; y, la difusión ilegal de reportes oficiales reservados de las Naciones Unidas acerca de la violación de derechos humanos en algunos países europeos en estado de guerra.
3. Tampering o Data Diddling. Esta categoría hace referencia a la modificación no autorizada de datos, y a la alteración del software instalado en un sistema, incluyendo el borrado de archivos. Esta actividad criminal puede ser ejecutada por insiders o outsiders, generalmente con propósitos de fraude o para dejar fuera de servicio a un competidor.
Ejemplos de estos casos incluyen la creación de cuentas corrientes falsas para sustraer fondos de otras cuentas; estudiantes que modifican calificaciones de exámenes; o contribuyentes fiscales que pagan para que se les anule la deuda por impuestos en el sistema. Otros ataques incluyen: Sitios Web cuyas páginas han sido alteradas con imágenes burlonas, o la incorporación de virus y troyanos en aplicaciones y software de las empresas.
4. Spoofing y Looping. Esta técnica se utiliza para actuar en nombre de otros usuarios, usualmente para realizar tareas de snoofing o tampering. Una forma común de "spoofing", es conseguir el nombre y clave de un usuario legítimo para, una vez dentro de su cuenta, tomar acciones en nombre de él, como puede ser el envío de e-mails falsos. El intruso usualmente utiliza un sistema para obtener información e ingresar en otro, y luego utiliza este para entrar en otro, y en otro. Este proceso, llamado "looping", tiene la finalidad de evaporar la identificación y la ubicación del atacante. El camino tomado desde el origen hasta el destino puede tener muchas estaciones, que exceden obviamente los límites de un país.
Rastrear el looping es casi imposible, ya que el investigador debe contar con la colaboración del administrador de cada red utilizada en la ruta, y pueden estar en distintas jurisdicciones y países. Los protocolos de red también son vulnerables al spoofing. Con el "IP spoofing", el atacante genera paquetes de Internet con una dirección de red falsa en el campo "from", pero que es aceptada por el destinatario de paquete.
El envío de mensajes electrónicos falsos es otra forma de spoofing. Con este método, el atacante envía a nombre de otra persona e-mails con otros objetivos. Tal fue el caso de una universidad en Estados Unidos que en 1998 debió reprogramar una fecha completa de exámenes ya que alguien en nombre de la secretaría de la facultad cambió la fecha verdadera, enviando un mensaje falso a 163 estudiantes.
5.Jamming o Flooding. Este tipo de ataques desactivan o saturan los recursos del sistema. Por ejemplo, un atacante puede consumir toda la memoria o espacio en disco disponible, así como enviar tanto tráfico a la red que nadie más puede utilizarla. Muchos proveedores de Internet han sufrido bajas temporales del servicio debido a ataques que explotan el protocolo TCP/IP. Con estas técnicas, el atacante satura el sistema con mensajes que solicitan establecer conexión. Sin embargo, en vez de proveer la dirección IP del emisor, el mensaje contiene falsas direcciones IP (o sea que este ataque involucra también spoofing). El sistema responde al mensaje, pero como no recibe respuesta, acumula buffers con información de las conexiones abiertas, no dejando lugar a las conexiones legítimas.
6. Difusión de Virus. Aunque la difusión de virus puede considerarse como un ataque de tipo tampering, difiere de este porque puede ser ingresado al sistema por un dispositivo externo (disquetes) o a través de la red (e-mail y otros protocolos) sin intervención directa del atacante. Dado que el virus tiene como característica propia su autoreproducción, no requiere de mucha ayuda para propagarse a través de una LAN o WAN rápidamente, si es que no esta instalada una protección antivirus en los servidores, estaciones de trabajo, y los servidores de e-mail.
El ataque de virus es el más común para la mayoría de las empresas que en un gran porcentaje responde afirmativamente cuando se les pregunta si han sido victimas de algún virus en los últimos 5 años.
7. Explotación de Agujeros Muchos sistemas están expuestos a "agujeros" de seguridad (errores de diseño e implementación), que son explotados por asaltantes de redes para acceder a archivos, obtener privilegios o realizar sabotaje. Estas vulnerabilidades ocurren por varias razones. Miles de "puertas invisibles" han sido descubiertas en aplicaciones de software, sistemas operativos, protocolos de red, navegadores de Internet, correo electrónico y servicios en LAN o WANs.
Sistemas operativos abiertos como UNIX o Linux tienen agujeros mas conocidos y controlados que aquellos que existen en sistemas operativos cerrados, como Windows NT.
8. Cracking. Este método hace referencia a la obtención "por fuerza bruta" de aquellas claves que permiten ingresar a servidores, aplicaciones, cuentas, y servicios en línea. Muchos passwords son obtenidos fácilmente porque involucran el nombre u otro dato familiar del usuario, y porque nunca se cambia. En este caso el ataque se simplifica e involucra algún tiempo de prueba y error. Otras veces se realizan ataques sistemáticos (incluso con varios computadores a la vez) con la ayuda de programas especiales y "diccionarios" que prueban millones de posibles claves hasta encontrar el password correcto. Es muy frecuente "crakear" un password explotando agujeros en los algoritmos de encriptación utilizados, o en la administración de las claves por parte la empresa. Por ser el uso de passwords la herramienta de seguridad mas cercana a los usuarios, es aquí donde hay que poner énfasis en la parte humana con políticas claras (por ejemplo: ¿Cómo se define un password?, ¿Quién está autorizado para revelar los passwords?) y una administración eficiente (por ejemplo: ¿Con qué frecuencia se cambian los passwords?)
Después de darle un vistazo a estos métodos, ¿que podemos pensar? Las redes son un impresionante laberinto donde hay muchos jugadores "buenos" y "malos", hay muchas puertas y agujeros por donde ingresar. Muchos. Dentro y fuera. |
This work is in the public domain |
Ja no es poden afegir comentaris en aquest article. Ya no se pueden añadir comentarios a este artículo. Comments can not be added to this article any more
|