TIPOS DE ATAQUE
Scanning (Búsqueda)
El Scaneo, como método de
descubrir canales de comunicación susceptibles de ser explotados, lleva en uso mucho tiempo. La idea es recorrer (scanear) tantos
puertos de escucha como sea posible, y guardar información de aquellos que sean receptivos o de utilidad para cada necesidad en particular. Muchas utilidades de auditoría también se basan en este paradigma.
El Scaneo de puertos pertenece a la
Seguridad Informática desde que era utilizado en los sistemas de telefonía. Dado que actualmente existen millones de números de teléfono a los que se pueden acceder con una simple llamada, la solución lógica (para encontrar números que puedan interesar) es intentar conectarlos a todos.
La idea básica es simple: llamar a un número y si el módem devuelve un mensaje de conectado, grabar el número. En otro caso, la
computadora cuelga el teléfono y
llama al siguiente número. Scanear puertos
implica las mismas técnicas de
fuerza bruta. Se envía una
serie de paquetes para varios protocolos y se deduce que servicios están "escuchando" por las respuestas recibidas o no recibidas.
Existen diversos tipos de Scanning según las técnicas, puertos y protocolos explotados:
TCP Connect() Scanning
Esta es la forma básica del scaneo de puertos TCP. Si el
puerto está escuchando, devolverá una respuesta de éxito; cualquier otro caso significará que el puerto no está abierto o que no se puede establecer conexión con a él.
Las ventajas que caracterizan esta técnica es que no necesita de privilegios especiales y su gran velocidad.
Su principal desventaja es que este método es fácilmente detectable por el
Administrador del
sistema. Se verá un gran número de conexiones y mensajes de error para los servicios en los que se ha conseguido conectar la máquina que lanza el scanner e inmediatamente se ha desconectado.
TCP SYN Scanning
Cuando dos procesos establecen una comunicación usan el
modelo Cliente/Servidor para establecer la conexión. La aplicación del
Servidor "escucha" todo lo que ingresa por los puertos. La identificación del Servidor se efectúa a través de la dirección
IP del sistema en el que se ejecuta y del número de puerto del que depende para la conexión. El Cliente establece la conexión con el Servidor a través del puerto disponible para luego intercambiar datos.
La información de control llamada HandShake (saludo) se intercambia entre el Cliente y el Servidor para establecer un dialogo antes de transmitir datos.
Los "paquetes" o segmentos TCP tienen banderas que indican el
estado del mismo.
El protocolo TCP de
Internet, sobre el que se basa la mayoría de los servicios (incluyendo el correo electrónico, el
web y el IRC) implica esta conexión entre dos máquinas. El establecimiento de dicha conexión se realiza mediante lo que se llama Three-Way Handshake ("conexión en tres pasos") ya intercambian tres segmentos. En forma esquemática se tiene:
1. El
programa Cliente (C) pide conexión al Servidor (S) enviandole un segmento SYN (Synchronize Sequence Number). Este segmento le dice a S que C desea establecer una conexión.
2. S (si está abierto y escuchando) al recibir este segmento SYN (activa su indicador SYN) y envía una autentificación ACK de manera de acuse de
recibo a C. Si S está cerrado envía un indicador RST.
3. C entonces ACKea (autentifica) a S. Ahora ya puede tener lugar la
transferencia de datos.
Cuando las
aplicaciones conectadas terminan la transferencia, realizaran otra negociación a tres bandas con segmentos FIN en vez SYN.
La técnica TCP SYN Scanning, se implementa un scaneo de "media-apertura", dado que nunca se abre una sesión TCP completa. Se envía un paquete SYN (como si se fuera a usar una conexión real) y se espera por la respuesta. Al recibir un SYN/ACK se envía, inmediatamente, un RST para terminar la conexión y se registra este puerto como abierto.
La principal
ventaja de esta técnica de escaneo es que pocos sitios están preparados para registrarlos. La desventaja es que en algunos sistemas Unix, se necesitan privilegios de Administrador para construir estos paquetes SYN.
TCP FIN Scanning- Stealth Port Scanning
Hay veces en que incluso el scaneo SYN no es lo suficientemente "clandestino" o
limpio. Algunos sistemas (Firewalls y
filtros de paquetes) monitorizan la
red en busca de paquetes SYN a puertos restringidos. Para subsanar este inconveniente los paquetes FIN, en
cambio, podrían ser capaces de pasar sin ser advertidos. Este tipo de Scaneo está basado en la idea de que los puertos cerrados tienden a responder a los paquetes FIN con el RST correspondiente. Los puertos abiertos, en cambio, suelen ignorar el paquete en cuestión.
Este es un comportamiento correcto del protocolo TCP, aunque algunos sistemas (entre los que se hallan los de Microsoft(r)) no cumplen con este requerimiento, enviando paquetes RST siempre, independientemente de si el puerto está abierto o cerrado. Como resultado, no son vulnerables a este tipo de scaneo. Sin embargo, es posible realizarlo en otros sistemas Unix.
Este último es un ejemplo en el que se puede apreciar que algunas vulnerabilidades se presentan en las aplicación de tecnologías (en este caso el protocolo TCP nacido en los años ´70) y no sobre sus implementaciones. Es más, se observa que una implementación incorrecta (la de Microsoft(r)) soluciona el problema. "Muchos de los problemas globales de vulnerabilidades son inherentes al disño original de algunos protocolos".
Fragmentation Scanning
Esta no es una nueva técnica de scaneo como tal, sino una modificación de las anteriores. En lugar de enviar paquetes completos de sondeo, los mismos se particionan en un par de pequeños fragmentos IP. Así, se logra partir una cabecera IP en distintos paquetes para hacerlo más difícil de monitorizar por los filtros que pudieran estar ejecutándose en la máquina objetivo.
Sin embargo, algunas implementaciones de estas técnicas tienen problemas con la gestión de este tipo de paquetes tan pequeños, causando una caída de rendimiento en el sistema del intruso o en el de la víctima. Problemas de esta índole convierte en detectables a este tipo de ataque.
Eavesdropping-Packet Sniffing
Muchas
redes son vulnerables al Eavesdropping, o a la pasiva intercepción (sin modificación) del tráfico de red. Esto se realiza con Packet Sniffers, los cuales son
programas que monitorean los paquetes que circulan por la red. Los Sniffers pueden ser colocado tanto en una estación de
trabajo conectada a la red, como a un
equipo Router o a un Gateway de Internet, y esto puede ser realizado por un usuario con legítimo acceso, o por un intruso que ha ingresado por otras vías.
En la cabecera de los paquetes enviados a través de una red, entre otros datos, se tiene, la dirección del emisor y la del destinatario. De esta forma, independientemente de protocolo usado, las tramas llegan a su destino. Cada maquina conectada a la red (mediante una
placa con una dirección única) verifica la dirección destino del paquete. Si estas direcciones son
iguales asume que el paquete enviado es para ella, caso contrario libera el paquete para que otras
placas lo analicen.
Un Sniffers consiste en colocar a la placa de red en un modo llamado promiscuo, el cual desactiva el
filtro de verificación de direcciones y por lo tanto todos los paquetes enviados a la red llegan a esta placa (computadora donde está instalado el Sniffer).Inicialmente este tipo de
software, era únicamente utilizado por los Administradores de redes locales, aunque con el tiempo llegó a convertirse en una
herramienta muy usada por los intrusos.
Actualmente existen Sniffers para capturar cualquier tipo de información específica. Por ejemplo passwords de un recurso compartido o de acceso a una
cuenta, que generalmente viajan sin encriptar al ingresar a sistemas de acceso remoto. También son utilizados para capturar números de tarjetas de crédito y direcciones de e-mails entrantes y salientes. El análisis de tráfico puede ser utilizado también para determinar
relaciones entre organizaciones e individuos.Para realizar estas funciones se analizan las tramas de un segmento de red, y presentan al usuario sólo las que interesan.
Normalmente, los buenos Sniffers, no se pueden
detectar, aunque la inmensa mayoría, y debido a que están demasiado relacionados con el protocolo TCP/IP, si pueden ser detectados con algunos trucos.
Snooping-Downloading
Los ataques de esta categoría tienen el mismo objetivo que el Sniffing: obtener la información sin modificarla.
Sin embargo los métodos son diferentes. Aquí, además de interceptar el tráfico de red, el
atacante ingresa a los documentos, mensajes de correo electrónico y otra información guardada, realizando en la mayoría de los casos un downloading (copia de documentos) de esa información a su propia computadora, para luego
hacer un análisis exhaustivo de la misma.
El Snooping puede ser realizado por simple curiosidad, pero también es realizado con fines de espionaje y robo de información o software. Los casos mas resonantes de este tipo de ataques fueron: el robo de un archivo con mas de 1700 números de tarjetas de crédito desde una compañía de música mundialmente
famosa, y la difusión ilegal de reportes oficiales reservados de las
Naciones Unidas, acerca de la violación de derechos humanos en algunos países europeos en estado de guerra.
ATAQUES DE AUTENTIFICACIÓN
Este tipo de ataque tiene como objetivo engañar al sistema de la víctima para ingresar al mismo. Generalmente este engaño se realiza tomando las sesiones ya establecidas por la víctima u obteniendo su nombre de usuario y password.
Spoofing-Looping
Spoofing puede traducirse como "hacerse pasar por otro" y el objetivo de esta técnica, justamente, es
actuar en nombre de otros usuarios, usualmente para realizar tareas de Snooping o Tampering (ver a continuación Ataques de Modificación y Daño). Una forma común de Spoofing es conseguir el nombre y password de un usuario legítimo para, una vez ingresado al sistema, tomar
acciones en nombre de él.
El intruso usualmente utiliza un sistema para obtener información e ingresar en otro, y luego utiliza este para entrar en otro, y así sucesivamente. Este proceso, llamado Looping, y tiene la finalidad de "evaporar" la identificación y la ubicación del atacante.
El camino tomado desde el origen hasta el destino puede tener muchas estaciones, que exceden obviamente los límites de un país. Otra consecuencia del Looping es que una compañía o gobierno pueden suponer que están siendo atacados por un competidor o una
agencia de gobierno extranjera, cuando en realidad están seguramente siendo atacado por un Insider, o por un estudiante a miles de Km de distancia, pero que ha tomado la identidad de otros.
La investigación de procedencia de un Looping es casi imposible, ya que el
investigador debe contar con la colaboración de cada Administrador de cada red utilizada en la
ruta. El envío de falsos e-mails es otra forma de Spoofing que las redes permiten. Aquí el atacante envía E-Mails a nombre de otra persona con cualquier
motivo y objetivo. Tal fue el caso de una
universidad en EE.UU. que en 1998, que debió reprogramar una fecha completa de exámenes ya que alguien en nombre de la secretaría había cancelado la fecha verdadera y enviado el mensaje a toda la nómina de
estudiantes.
Muchos ataques de este tipo comienzan con Ingeniería
Social y los usuarios, por falta de cultura, facilitan a extraños sus identificaciones dentro del sistema usualmente través de una simple llamada telefónica.
Spoofing
Este tipo de ataques (sobre protolocos) suele
implicar un buen conocimiento del protocolo en el que se va a basar el ataque. Los ataques tipo Spoofing bastante conocidos son el IP Spoofing, el DNS Spoofing y el Web Spoofing IP Spoofing
Con el IP Spoofing, el atacante genera paquetes de Internet con una dirección de red falsa en el
campo From, pero que es aceptada por el destinatario del paquete. Su utilización más común es enviar los paquetes con la dirección de un tercero, de forma que la víctima "ve" un ataque proveniente de esa tercera red, y no la dirección real del intruso. El esquema con dos puentes es el siguiente:
Nótese que si la Victima descubre el ataque verá a la
PC 3 como su atacante y no el verdadero origen. Este ataque se hizo
famoso al usarlo Kevin Mitnick (ver Anexo II).
DNS Spoofing
Este ataque se consigue mediante la manipulación de paquetes UDP pudiéndose comprometer el servidor de nombres de dominios (Domain Name Server-DNS) de
Windows NT(c). Si se permite el método de recursión en la resolución de "Nombre"Dirección IP" en el DNS, es posible controlar algunos aspectos del DNS remoto. La recursión consiste en la capacidad de un servidor de nombres para resolver una petición de dirección IP a partir de un nombre que no figura en su
base de datos. Este es el método típico (y por defecto) de funcionamiento.
Web Spoofing
En el caso Web Spoofing el atacante crea un sitio web completo (falso) similar al que la víctima desea entrar. Los accesos a este sitio están dirigidos por el atacante, permitiéndole monitorizar todas las acciones de la víctima, desde sus datos hasta las passwords, números de
tarjeta de créditos, etc. El atacante también es
libre de modificar cualquier dato que se esté transmitiendo entre el servidor original y la víctima o viceversa.
IP Splicing-Hijacking
Se produce cuando un atacante consigue interceptar una sesión ya establecida. El atacante espera a que la victima se identifique ante el sistema y tras ello le suplanta como usuario autorizado.
