Riesgos Comunes


         Riesgo o amenaza se entiende como una condición del entorno del sistema de información (persona, máquina, suceso o idea) que, dada una oportunidad, podría dar lugar a que se produjese una violación de la seguridad (confidencialidad, integridad, disponibilidad o uso legítimo).

         En la actualidad lograr que un sistema de transmisión de datos sea confiable representa más obstáculos por vencer debido al incremento de la actividad en internet, intranets y extranet.

La política de seguridad para la protección de archivos involucra implementar medidas para evitar que la información se comprometa. Para lograr este cometido también es necesario conocer los riesgos a los que se expone y a así poder actuar en consecuencia.

El análisis de riesgos identifica las amenazas que han de ser contrarrestadas. Con esta información podemos diseñar o elegir el sistema de seguridad adecuado con los servicios y mecanismos de seguridad necesarios.

Riesgo para el Hardware


Entre los riesgos que corre el hardware se incluyen daño físico a computadoras, equipo periférico y medios de comunicación. Las principales causas de dicho daño son los desastres naturales, los apagones e interrupciones en la corriente eléctrica y el vandalismo.

Riesgos a nivel de Software



Los ataques pueden servir a varios objetivos incluyendo fraude, extorsión, robo de información, venganza o simplemente el desafío de penetrar un sistema. Esto puede ser realizado por empleados internos que abusan de sus permisos de acceso, o por atacantes externos que acceden remotamente o interceptan el tráfico de red.

Los ataques más comunes en el envío y recepción de datos  son:
1.       Robo o extravío de información
1.1.    Eavesdropping y Packet Sniffing (husmeo de paquetes)
1.2.    Snooping
1.3.    Reactuación.
1.4.    IP Spoofing (Suplantación de Identidad)
2.       Alteración y destrucción de datos del sistema
2.1. Tampering o data didling
2.1.1.        Troyanos
2.1.2.        Bombas Lógicas
3.       Difusión de Virus Computacionales
4.       Programas que permiten acceso no autorizado o interrupciones
4.1. Explotación de Agujeros
4.2. Denial of Service (Denegación de Servicio)
4.2.1.        Ampliación DoS (Ataque distribuido de denegación de servicio)
4.2.2.        Jamming o Flooding
5.       Cracking
6.       Ataques de hackers
1.     Robo o extravío de información


             A diferencia de tres décadas atrás, los archivos confidenciales eran más difíciles de adquirir debido a que todavía dependíamos del papel, sin considerar el volumen que suponía tener gran cantidad de información. Actualmente es mucho más fácil robar y ocultar gran cantidad de información porque tenemos a nuestro alcance las existentes herramientas tecnológicas.
               
1.1.    Eavesdropping y Packet Sniffing (husmeo de paquetes)

En Internet esto es realizado por packet sniffers, que son programas que monitorizan los paquetes que circulan por la de red. El sniffer puede ser colocado tanto en una estación de trabajo conectada a red, como a un router o a un Gateway de Internet, y esto puede ser realizado por un usuario con legítimo acceso, o por un intruso que ha ingresado por otras vías.

Muchas redes son vulnerables al eavesdropping, o la pasiva intercepción (sin modificación) del tráfico de red.

Este método es muy utilizado para capturar nombres de usuario y contraseñas, que generalmente viajan claros (sin cifrar) al conectarse a sistemas de acceso remoto (RAS). También son utilizados para capturar números de tarjetas de crédito y direcciones de emails entrantes y salientes. El análisis de tráfico puede ser utilizado también para determinar relaciones entre organizaciones o individuos.

1.2.    Snooping

Los ataques de esta categoría tienen el mismo objetivo que el sniffing, obtener la información sin modificarla. Sin embargo los métodos son diferentes. Además de interceptar el tráfico de red, el atacante captura y se apropia de los documentos, mensajes de e-mail, etc. y de cualquier otra información de interés.

1.3.    Reactuación

Uno o varios mensajes legítimos son capturados y repetidos para producir un efecto no deseado, como por ejemplo ingresar dinero repetidas veces en una cuenta dada.

1.4.    IP Spoofing (Suplantación de Identidad)

Es una técnica de suplantación de identidad a través de la Red llevada a cabo por un intruso, generalmente para usos de malware o de investigación.

Se produce cuando el atacante determina y utiliza una dirección IP de una red, un equipo o un componente de red sin tener autorización para ello. El atacante puede actuar como si fuese la entidad identificada normalmente por la dirección IP.

El intruso usualmente utiliza un sistema para obtener información e ingresar en otro, y luego utiliza este para entrar en otro, y en otro. Este proceso, llamado "looping", tiene la finalidad de evaporar la identificación y la ubicación del atacante. El camino tomado desde el origen hasta el destino puede tener muchas estaciones, que exceden obviamente los límites de un país.

Rastrear el looping es casi imposible, ya que el investigador debe contar con la colaboración del administrador de cada red utilizada en la ruta, y pueden estar en distintas jurisdicciones y países.

De acuerdo con la tecnología utilizada se pueden diferenciar varios tipos de spoofing:
*      IP spoofing: Consiste en la suplantación de la dirección IP de origen de un paquete TCP/IP por otra dirección IP a la cual se desea suplantar. El atacante genera paquetes de Internet con una dirección de red falsa en el campo "from", pero que es aceptada por el destinatario de paquete.
*      ARP spoofing: Es la suplantación de identidad por falsificación de tabla ARP. Las tablas ARP (Address Resolution Protocol) son un protocolo de nivel de red que relaciona una dirección de hardware con la dirección IP del computador. Por lo tanto, al falsear la tabla ARP de la víctima, todo lo que ésta envíe, será direccionado al atacante.
*      DNS spoofing: Es una suplantación de identidad por nombre de dominio, la cual consiste en una relación falsa entre IP y nombre de dominio.
*      Web spoofing: Con esta técnica el atacante crea una falsa página web, muy similar a la que suele utilizar el afectado con el objetivo de obtener información de dicha víctima como contraseñas, información personal, datos facilitados, páginas que visita con frecuencia, perfil del usuario, etc.
      Phishing
Esta modalidad de spoofing da lugar al "phishing" que consiste en estafar a través de la suplantación de la imagen de una empresa o entidad pública y la consecuente obtención de información sensitiva de los clientes, para luego ser usados de forma fraudulenta.
*      Mail spoofing: Suplantación de correo electrónico, bien sea de personas o de entidades, con el objetivo de llevar a cabo un envío masivo de phising o spam.

           2. Alteración y destrucción de datos del sistema

          Se considera vandalismo electrónico. Los ataques pueden ser realizados contra una organización o a computadoras personales.

2.1. Tampering o data didling

Se refiere a la modificación desautorizada de los datos, o al software instalado en un sistema, incluyendo borrado de archivos. Este tipo de ataques son particularmente serios cuando el que lo realiza ha obtenido derechos de administrador o supervisor, con la capacidad de ejecutar cualquier comando y alterar o borrar cualquier información que  puede incluso terminar en la destrucción total del sistema en forma deliberada.

Esto puede ser realizado por insiders u outsiders, generalmente con el propósito de fraude o dejar fuera de servicio a un competidor. En caso de fraude existen casos como empleados bancarios que crean falsas cuentas para derivar fondos de otras cuentas, estudiantes que modifican calificaciones de exámenes, etc.

2.1.1.        Troyanos
Consiste en falsas versiones de un software con el objetivo de averiguar información, borrar archivos, formatear el disco duro, modificar un fichero, sacar un mensaje, tomar control remoto de una computadora a través de Internet como fue el caso de Back Orifice y NetBus, y para otros muchos propósitos perjudiciales.

A través de estas aplicaciones se introduce dentro de un programa una rutina o un conjunto de instrucciones,  para que dicho programa actúe de forma diferente a como estaba previsto.

2.1.2.        Bombas Lógicas
Este suele ser el procedimiento de sabotaje mas comúnmente utilizado por empleados descontentos. Consiste en introducir un programa o rutina que en un momento o fecha determinada destruirá, modificará la información o provocará el cuelgue del sistema.

      3. Difusión de Virus Computacionales

Consiste en líneas de código de programación que se insertan en un programa legítimo y que actúan sobre ellos y sus datos de manera similar a los virus biológicos: se propagan con facilidad de una computadora a otra a través de la red.

Aunque la difusión de virus puede considerarse como un ataque de tipo tampering, difiere de este porque puede ser ingresado al sistema por un dispositivo externo (disquetes) o a través de la red (e-mail y otros protocolos) sin intervención directa del atacante. Dado que el virus tiene como característica propia su autoreproducción, no requiere de mucha ayuda para propagarse a través de una LAN o WAN rápidamente. Es por esto que la protección antivirus es una prioridad de instalación en los servidores, las estaciones de trabajo, y los servidores de e-mail.

Cuando un virus llega a una computadora, causa daños en los archivos de aplicaciones y de datos. Además de destruirlos, los virus pueden alterar la transmisión de datos: su presencia provoca que las aplicaciones de comunicación de datos procesen enormes cantidades de mensajes y archivos inútiles, lo que reduce la eficiencia de transmisión y recepción de mensajes y archivos legítimos.

Los peores virus son los que se instalan en los sistemas operativos. Puesto que este interactúa con los archivos de programa y datos utilizados en la computadora, el virus alojado puede dañar cada uno de los archivos utilizados.

      4.  Programas que permiten acceso no autorizado o interrupciones

Existen aplicaciones o rutinas que pueden ser utilizadas para estos efectos, o incluso creadas para tal fin. Por su puesto, también es necesaria alguna forma para hacer que se introduzcan en un sistema.

4.1. Explotación de Agujeros

Muchos sistemas están expuestos a "agujeros" de seguridad (errores de diseño e implementación), que son explotados por asaltantes de redes para acceder a archivos, obtener privilegios o realizar sabotaje. Estas vulnerabilidades ocurren por varias razones. Miles de "puertas invisibles" han sido descubiertas en aplicaciones de software, sistemas operativos, protocolos de red, navegadores de Internet, correo electrónico y servicios en LAN o WANs.

Sistemas operativos abiertos como UNIX o Linux tienen agujeros mas conocidos y controlados que aquellos que existen en sistemas operativos cerrados, como Windows NT.

4.2. Denial of Service (Denegación de Servicio)
Hace que un recurso sea o servicio sea inaccesible a los usuarios. Puede generarse por la saturación de los puertos con flujo de información, haciendo que el servidor se sobrecargue. Es usada por los llamados crackers para dejar fuera de servicio a servidores objetivo.

Algunos modos en que puede hacerse un DDoS pueden ser:          

4.2.1.        Ampliación DoS (Ataque distribuido de denegación de servicio)
Se lleva a cabo generando un gran flujo de información desde varios puntos de conexión.
La forma más común es a través de una botnet, técnica más usual y eficaz por su sencillez tecnológica. Esta herramienta ha sido utilizada como un buen método para comprobar la capacidad de tráfico que un ordenador puede soportar. Un administrador de redes puede así conocer la capacidad real de cada máquina.

4.2.2.        Jamming o Flooding
Puede decirse que es aquella actividad que afecta la línea de tiempo en alguna comunicación. Es decir, logra que la información no llegue al receptor en el momento en que debe hacerlo. Al afectar esto, se afecta también la relevancia de la información.  Ya que la información solo es útil en determinado momento.
Este tipo de ataques desactivan o saturan los recursos del sistema, haciendo que se consuma toda la memoria o espacio en disco disponible, o también sobrecargando la red.
Muchos ISPs (proveedores de Internet) han sufrido bajas temporales del servicio por ataques que explotan el protocolo TCP. El atacante puede saturar el sistema con mensajes que requieren establecer conexión. Sin embargo, en vez de proveer la dirección IP del emisor, el mensaje contiene falsas direcciones IP (spoofing). El sistema responde al mensaje, pero como no recibe respuesta, acumula buffers con información de las conexiones abiertas, sin dejar lugar a las conexiones legítimas. En otro caso, host de Internet pueden darse de baja por el "ping de la muerte", una versión-trampa del comando ping. Mientras que el ping normal simplemente verifica si un sistema esta enlazado a la red, el ping de la muerte causa el reboot o el apagado instantáneo del equipo.  

      5. Cracking


Este método hace referencia a la obtención "por fuerza bruta" de aquellas claves que permiten ingresar a servidores, aplicaciones, cuentas, y servicios en línea. Muchos passwords son obtenidos fácilmente porque involucran el nombre u otro dato familiar del usuario, y porque nunca se cambia. En este caso el ataque se simplifica e involucra algún tiempo de prueba y error. Otras veces se realizan ataques sistemáticos (incluso con varios computadores a la vez) con la ayuda de programas especiales y "diccionarios" que prueban millones de posibles claves hasta encontrar el password correcto. Es muy frecuente "crakear" un password explotando agujeros en los algoritmos de encriptación utilizados, o en la administración de las claves por parte la empresa.

      6. Ataques de hackers


Un hacker es aquella persona experta en alguna rama de la tecnología informática, que se dedica a intervenir y/o realizar alteraciones técnicas con buenas o malas intenciones sobre un producto o dispositivo.

El hacker se vale de las vulnerabilidades del sistema para utilizar sus conocimientos creando programas o ingeniando formas para realizar cualquiera de los ataques ya explicados anteriormente y posiblemente logrando muchas otras formas de ataques, dependiendo de la habilidad del mismo.

Existen distintos tipos de hackers. “White hats” o “hackers blancos”, son aquellos que utilizan sus conocimientos para poner a prueba dispositivos o sistemas, de tal forma que los resultados ayuden a corregir errores y/o desperfectos. Tienden a publicar lo que saben para el beneficio de comunidades relacionadas al desarrollo de nuevos sistemas y aplicaciones.  En cambio, los “black hats” o “hackers negros” son aquellos que también intervienen en los sistemas pero de una manera maliciosa, buscando la satisfacción económica o incluso personal. Sus acciones con frecuencia consisten en ingresar violenta o ilegalmente a sistemas privados, robar información, destruir datos y/o herramientas y colapsar o apropiarse de sistemas.

Existen otros términos para referirse a potenciales atacantes, aquí algunos. La diferencia de estos con los hackers es que sencillamente los siguientes no tienen las habilidades, experiencia y conocimientos del alto nivel que tienen los hackers. Pero los recursos y conocimientos de los que se valen son suficientes para lograr un ataque.

Samurái: Normalmente es alguien contratado para investigar fallos de seguridad y que investiga casos de derechos de privacidad. Deciden y manejan la seguridad en sistemas de redes.
Phreaker: Son personas con conocimientos amplios tanto en teléfonos modulares (TM) como en teléfonos móviles. Realizan ataques en esta modalidad.
Wannabe: Son los que le interesa el tema de hacking y/o phreaking y están inicializándose en el ámbito. Pueden llegar a convertirse en hackers si avanzan en experiencia y aprendizaje.
Lammer o script-kiddie: Pretende obtener beneficio del hacking sin los conocimientos necesarios. Se limita a buscar y, descargar programas y herramientas de intrusión informática, cibervandalismo y propagación de software malicioso,  para luego ejecutarlos como simple usuario, sin profundizar en el funcionamiento algorítmico y estructural, ni su comportamiento sobre los sistemas en que opera. Presume de conocimientos o habilidades que no posee.
Newbie: Es un término utilizado comúnmente en comunidades en línea para describir a un novato, en esta área; Es el que posee casi nada o muy poco conocimiento del tema.


Ataques Pasivos y Activos


En los ataques pasivos, el atacante no altera la comunicación, sino que únicamente la escucha o monitoriza, para obtener la información que está siendo transmitida. Sus objetivos son la intercepción de datos y el análisis de tráfico.

En esta categoría entran, por ejemplo, el snooping, el packet sniffing, y entre otros similares que no involucran alteraciones importantes para un sistema.

Por su parte, los ataques activos implican algún tipo de modificación del flujo de datos transmitido o la creación de un falso flujo de datos.

En esta categoría se encuentran el enmascaramiento spoofing, la modificación (tampering o data diddling), que incluye también la posible destrucción y creación no autorizada de datos o recursos, y la interrupción (jamming o flooding), y otros. 

No hay comentarios:

Publicar un comentario

Suscribirse a: Entradas (Atom)