Definición General de Ataque informático:
Un ataque informático es un método por el cual un individuo, mediante un sistema informático, intenta tomar el control, desestabilizar o dañar otro sistema informático (ordenador, red privada, etcétera).
La triada CIA
Se le llama Triada CIA a los principales aspectos de la seguridad informática (Confidentiality, Integrity, Availability, en español Confidencialidad, Integridad y Disponibilidad).
Confidencialidad
La confidencialidad es la propiedad de prevenir la divulgación de información a personas o sistemas no autorizados.
Por ejemplo, una transacción de tarjeta de crédito en Internet requiere que el número de tarjeta de crédito a ser transmitida desde el comprador al comerciante y el comerciante de a una red de procesamiento de transacciones. El sistema intenta hacer valer la confidencialidad mediante el cifrado del número de la tarjeta y los datos que contiene la banda magnética durante la transmisión de los mismos. Si una parte no autorizada obtiene el número de la tarjeta en modo alguno, se ha producido una violación de la confidencialidad.
La pérdida de la confidencialidad de la información puede adoptar muchas formas. Cuando alguien mira por encima de su hombro, mientras usted tiene información confidencial en la pantalla, cuando se publica información privada, cuando un laptop con información sensible sobre una empresa es robado, cuando se divulga información confidencial a través del teléfono, etc. Todos estos casos pueden constituir una violación de la confidencialidad.
Integridad
Para la Seguridad de la Información, la integridad es la propiedad que busca mantener los datos libres de modificaciones no autorizadas. (No es igual a integridad referencial en bases de datos.) La violación de integridad se presenta cuando un empleado, programa o proceso (por accidente o con mala intención) modifica o borra los datos importantes que son parte de la información, así mismo hace que su contenido permanezca inalterado a menos que sea modificado por personal autorizado, y esta modificación sea registrada, asegurando su precisión y confiabilidad. La integridad de un mensaje se obtiene adjuntándole otro conjunto de datos de comprobación de la integridad: la firma digital Es uno de los pilares fundamentales de la seguridad de la información
Disponibilidad
La Disponibilidad es la característica, cualidad o condición de la información de encontrarse a disposición de quienes deben acceder a ella, ya sean personas, procesos o aplicaciones.
En el caso de los sistemas informáticos utilizados para almacenar y procesar la información, los controles de seguridad utilizado para protegerlo, y los canales de comunicación protegidos que se utilizan para acceder a ella deben estar funcionando correctamente. La Alta disponibilidad sistemas objetivo debe seguir estando disponible en todo momento, evitando interrupciones del servicio debido a cortes de energía, fallos de hardware, y actualizaciones del sistema.
Garantizar la disponibilidad implica también la prevención de ataque Denegación de servicio.
La disponibilidad además de ser importante en el proceso de seguridad de la información, es además variada en el sentido de que existen varios mecanismos para cumplir con los niveles de servicio que se requiera, tales mecanismos se implementan en infraestructura tecnológica, servidores de correo electrónico, de bases de datos, de web etc, mediante el uso de clusters o arreglos de discos, equipos en alta disponibilidad a nivel de red, servidores espejo, replicación de datos, redes de almacenamiento (SAN), enlaces redundantes, etc. La gama de posibilidades dependerá de lo que queremos proteger y el nivel de servicio que se quiera proporcionar.
Todo aquello que afecte los aspectos anteriores se considera un ataque informático
Los ataques informáticos se pueden clasificar de dos maneras:
Según su impacto en el sistema:
Esta clasificación los divide en:
Ataque Activo: Altera el sistema o red atacado alterando parcial o totalmente su integridad y disponibilidad,
Ataque Pasivo: No modifica el sistema, y solamente intercepta la información, afectando la confidencialidad
Según su procedencia:
Esta clasificación los divide en:
Externos: Los que se realizan desde fuera del perimetro de seguridad, por ejemplo Internet
Internos: es decir dentro la red, los empleados descontentos, terceros dentro de la organización
Una cuestión de sombreros.
Las fases de una intrusión o ataque tienen relación con el perfil ético del Hacker atacante, y es aqui donde se diferencian los Black Hat (sombrero negro), White Hat (sombrero blanco) y Gray Hat (sombrero gris).
Black Hat Hackers Los hackes de sombrero negro son los "malos de la película" no respetan ningún código de ética y cuyos valores están más relacionados con el dinero o con la falsa sensación de rebeldía frente a la sociedad.
Gray Hat Hackers:suelen estar en el borde de la legalidad y pueden cambiar su senda en función de cual sea el bando del mejor postor.
White Hat Hackersson aquellos profesionales que poseen un código de ética, usualmente alineado con el de alguna organización relacionada, y están encargados de proteger los sistemas informáticos de los ataques que puedan sufrir.
Metodologías estándar para pruebas de intrusión:
ISECOM OSSTMM 3.0
http://www.isecom.org/
OWASP
NIST SP 800-42 (Security Testing), 800-115
http://csrc.nist.gov
Es la primera fase de una intrusión, se trata de recopilar la mayor cantidad de información; esta fase varía según la cantidad de información proporcionada por el objetivo
Así, tendremos los análisis tipo White box y Black box. En el primero de los casos, el hacker tiene a su disposición información sobre la infraestructura de la empresa y la profundidad del análisis está pactada de antemano. En el segundo, no se dispone casi de información del objetivo, con lo cual en este caso la fase de reconocimiento es fundamental.
En esta primera fase del ataque o hacking, en el cual se define el objetivo a atacar, sea una red, un servidor remoto,
una página web, una aplicación cliente/servidor, hardware, un proceso o procedimiento, una compañía, una organización,
etc. En esta primera fase el hacker tiene el reto en su mente y visualiza su objetivo.
¿Que información se busca en esta fase?
-Direcciones IP
-Correos electrónicos
-Software y Hardware
-Marcas comerciales
-Perfil de trabajadores
-Dominios
-Nombres de usuario
-Proveedores y clientes
Ejemplos:
Una de las técnicas más simples es usar el Google Hacking que consiste en utilizar las funciones de búsquedas avanzadas del conocido buscador, combinadas de forma tal que permitan obtener información muy precisa, como por ejemplo, equipos conectados a Internet que utilicen un sistema operativo en particular que tiene ciertas vulnerabilidades conocidas:
Otro ejemplo aún mas simple, es por ejemplo hacer ping para saber la dirección IP asociada a un dominio:
Teniendo la dirección IP se pueden descubrir todos los sitios sociados a esa IP, "si no puedes entrar por a una casa directamente, intenta entrar a través de los vecinos"
La ingeniería Social
La ingeniería Social se trata de "hackear" el elemento humano del sistema para conseguir información útil utilizando engaños, adulaciones o sobornos, Kevin Mitnick uno de los hackers más famosos de todos los tiempos es conocido también con el título de "el ingeniero social" Según su opinión, la ingeniería social se basa en estos cuatro principios:
-Todos queremos ayudar.
-El primer movimiento es siempre de confianza hacia el otro.
-No nos gusta decir No.
-A todos nos gusta que nos alaben.
Más información y documentos:
>>
Herramienta: Social Engineer Toolkit
The Social-Engineer Toolkit mas conocido como SET, es un conjunto de herramientas especialmente diseñadas para realizar ataques de Ingeniería Social en procesos de auditorias en seguridad, permite realizar desde ataques simples de clonación de webs para obtener contraseñas, infectar archivos pdf,generar ejecutables infectados y hasta falsear remitentes en mensajes de texto (sms).
En esta fase a veces se incluye dentro de la primera parte, aqui utilizaremos la información previa con el objetivo de detectar vectores de ataque en la infraestructura de la organización.
Objetivos:
Conceptualmente, a todo este proceso lo podremos dividir en seis etapas. En cada una de ellas buscaremos distintos tipos de información, desde los equipos online en una red o segmento hasta la planificación del ataque en sí mismo. Vale la pena aclarar que esta división es conceptual, ya que las herramientas suelen cubrir varias etapas juntas en un mismo análisis.
Estas etapas son:
* detección de sistemas vivos o activos
* escaneo de puertos
*detección del sistema operativo
*identificación de servicios
*escaneo de vulnerabilidades
*planificación del ataque.
Nmap como herramienta:
Nmap es una herramienta de seguridad que cumple las siguientes funciones:
* Descubrimiento de servidores, Identificar computadoras en una red, por ejemplo listando aquellas que responden ping, *Identificar puertos abiertos en una computadora objetivo
*Determinar qué servicios está ejecutando la misma
*Determinar qué sistema operativo y versión utiliza dicha computadora, (esta técnica es también conocida como fingerprinting),
*Obtener algunas características del hardware de red de la máquina objeto de la prueba, etc, etc
Ejemplo
haremos un escaneo con nmap que mostrará puertos abiertos, versiones de servicios, versión aproximada del sistema operativo, etc, con la siguiente línea de comando:
[code]nmap -A --osscan-guess 127.0.0.1[/code]
-A Detección de sistema operativo, versiones de servicios...
--osscan-guess > Detección "agresiva" del sistema operativo
Detección de vulnerabilidades
"La seguridad total de un sistema es igual a la seguridad del componente más vulnerable"
La detección de vulnerabilidades es un proceso crucial en un antaque a un sistema, ya que esto implica buscar la puerta de entrada a un objetivo, esto se puede realizar manualmente probando explotar varias posibles vulnerabilidades, o con algún scanner de vulnerabilidades, como todo esto tiene sus ventajas y desventajas:
Ventajas y desventajas de los scanners de vulnerabilidades
Tienen un gran banco de pruebas que se actualiza con mucha frecuencia.
Permiten Ahorrar mucho tiempo.
Estan disponibles para cualquier sistema operativo
Hacking facil al alcance de cualquier lammer
Muchos tiran falsos positivos
Si no se usan bien, producen Denial of Service.
Las herramientas:
Actualmente existen varios escaners de vulnerabilidades que lo que hacen es realizar un escaneo (valga el uso reiterativo del término) con nmap o su propio scanner y generar un reporte de las posibles vulnerabilidades del sistema, adicional a eso algunos permiten buscar un exploit para la vulnerabilidad indicada y realizar el ataque inmediatamente.
Una vez detectadas las vulnerabilidades, el gran paso es el ingreso al sistema definido como objetivo. Si esto se realiza en el marco de una simulación o de un penetration test realizado por profesionales, no se suele tomar control sobre el sis-
tema sino, simplemente, detectar las vulnerabilidades y proponer soluciones para resolver los problemas. Para el caso de un ataque o simulación más realista, esta fase será quizá la que produzca la mayor descarga de adrenalina, ya que aquí se utilizan los recursos y conocimientos de manera condensada. Una vez encontrada una vulnerabilidad, el atacante buscará un exploit que le permita explotarla y obtener el control, lo que en la jerga se conoce como ownear el servidor.
Este proceso puede realizarse en forma manual o mediante el uso de algún sistema de explotación.
Objetivos
Acceder al sistema objetivo (red interna o servidor)
Escalar privilegios
Extraer información
Encontrar evidencias
En el caso de los Black Hat Hackers:
Modificar/destruir la información
Defacear
Desestabilizar el sistema y los servicios
Obtención de información Sensible
Los Exploits
Exploit (del inglés to exploit, explotar o aprovechar) es una pieza de software, un fragmento de datos, o una secuencia de comandos con el fin de automatizar el aprovechamiento de un error, fallo o vulnerabilidad, a fin de causar un comportamiento no deseado o imprevisto en los programas informáticos, hardware, o componente electrónico (por lo general computarizado). Con frecuencia, esto incluye cosas tales como la violenta toma de control de un sistema de cómputo o permitir la escalada de privilegios o un ataque de denegación de servicio
El fin del Exploit puede ser violar las medidas de seguridad para poder acceder al mismo de forma no autorizada y emplearlo en beneficio propio o como origen de otros ataques a terceros.
Los Exploits pueden ser escritos empleando una diversidad de lenguajes de programación, aunque mayoritariamente se suele utilizar lenguaje C. También puede aprovecharse de distintos tipos de ataques tales como desbordamiento de búfer, Cross Site Scripting, Format Strings, Inyección SQL, entre otros.
Exploitdb, una de las páginas con mayor cantidad de exploits
Los Frameworks
Son un conjunto de herramientas y scripts que permiten lanzar exploits con gran facilidad y sin necesidad de programarlos y compilarlos a mano.
En este campo el más conocido es el Metasploit Framework que aparte de tener gran cantidad de exploits y ejecutables infectados, posee la función autopwn que lo que hace es realizar un escaneo, mirar los puertos abiertos de la maquina objetivo, detectar los servicios que corre y lanzar la mayor cantidad de exploits posibles para tal proceso.
Troyanos, Virus y malware
Otra forma de acceder al sistema es persuadir a la victima para que ejecute un programa infectado, esto se hace para facilitar en extremo la explotación o cuando no es posible explotar las vulnerabilidades remotamente, por ejemplo al estar detrás de un router o firewall correctamente configurado.
Una vez obtenido el acceso, lo que realmente se busca es mantener al equipo comprometido entre las filas del atacante. Para esto, hay que buscar la manera de que el acceso ganado sea perdurable en el tiempo. En la mayoría de los casos, esto se logra a partir de la instalación y ejecución de diversos tipos de software malicioso. Si bien el comportamiento va a cambiar dependiendo del tipo de software, el resultado siempre es el mismo: el atacante podrá retomar el acceso al equipo comprometido cada vez que lo desee. Algunos ejemplos de software que se utiliza en esta etapa son troyanos y backdoors, keyloggers, spyware, etcétera.
Retomando la planificación del ataque, ya mencionamos que siempre se busca mantener la anonimidad en el ataque y, por otro lado, ocultar huellas. En esta fase, el atacante buscará lo mismo. Intentará, con mayor o menor suerte, no dejar rastros de su paso y también esconder los medios por los cuales mantiene el acceso al equipo comprometido.
Por lo general un buen hacker no deja su propio rastro dentro del sistema atacado, y ni siquiera "firma", esto se debe a que por lo general se usan herramientas para mantener el anonimato, como por ejemplo uno o varios proxys para anonimizar la conexión y que sea más dificil rastrearlo por su dirección IP.
O también puede usar una botnet (varias máquinas manejadas a distancia por software malicioso sin que su dueño lo sepa)
es por eso que muchos de los keygens y cracks son detectados por tu antivirus como software malicioso, pues el cracker que lo hizo desea usar tu computadora a distancia para sus fechorias, a cambio de darte la posibilidad de jugar ese jueguito que que te descargaste ilegalmente.
En caso tal de que el Hacker haya dejado algún rastro, debe borrar su huella de las siguientes maneras:
*Desactivar los servicios de auditoría de sistema
*Borrar todos los logs que tengan prueba alguna de las modificaciones hechas
*Borrar la evidencia o pistas de las herramientas utilizadas, o posibles programas instalados, aquellas pistas que no se puedan borrar, entonces deben ocultarse y cifrarse correctamente para dificultar su lectura, para ello se utiliza la esteganografia
Ya con esto, se puede dar por terminado el ataque.
http://www.dragonjar.org/como-realizar-un-pentest.xhtml
http://www.dragonjar.org/seguridad-informatica-un-reto-para-la-ingenieria-del-software-o-una-necesidad.xhtml
http://es.wikipedia.org/wiki/Seguridad_inform%C3%A1tica
http://www.elhacker.net/Textos1.html