Riesgo o amenaza se entiende como una condición del entorno del
sistema de información (persona, máquina, suceso o idea) que, dada una
oportunidad, podría dar lugar a que se produjese una violación de la seguridad
(confidencialidad, integridad, disponibilidad o uso legítimo).
En la actualidad
lograr que un sistema de transmisión de datos sea confiable representa más
obstáculos por vencer debido al incremento de la actividad en internet,
intranets y extranet.
La política de seguridad para la protección de archivos involucra implementar
medidas para evitar que la información se comprometa. Para lograr este cometido
también es necesario conocer los riesgos a los que se expone y a así poder
actuar en consecuencia.
El análisis de riesgos identifica las amenazas que
han de ser contrarrestadas. Con esta información podemos diseñar o elegir el
sistema de seguridad adecuado con los servicios y mecanismos de seguridad
necesarios.
Riesgo para el Hardware
Entre
los riesgos que corre el hardware se incluyen daño físico a computadoras,
equipo periférico y medios de comunicación. Las principales causas de dicho
daño son los desastres naturales, los apagones e interrupciones en la corriente
eléctrica y el vandalismo.
Los
ataques pueden servir a varios objetivos incluyendo fraude, extorsión, robo de
información, venganza o simplemente el desafío de penetrar un sistema. Esto
puede ser realizado por empleados internos que abusan de sus permisos de
acceso, o por atacantes externos que acceden remotamente o interceptan el
tráfico de red.
Los ataques más comunes en el envío y recepción de
datos son:
1.
Robo o extravío de información
1.1.
Eavesdropping y Packet
Sniffing (husmeo de paquetes)
1.2.
Snooping
1.3.
Reactuación.
1.4.
IP Spoofing (Suplantación de Identidad)
2.
Alteración y destrucción de datos del sistema
2.1. Tampering o data didling
2.1.1.
Troyanos
2.1.2.
Bombas Lógicas
3.
Difusión de Virus Computacionales
4.
Programas que permiten acceso no autorizado o interrupciones
4.1. Explotación de Agujeros
4.2. Denial of Service (Denegación de Servicio)
4.2.1.
Ampliación DoS
(Ataque distribuido de denegación de servicio)
4.2.2.
Jamming o Flooding
5.
Cracking
6.
Ataques
de hackers
1. Robo o extravío de
información
A diferencia de tres décadas atrás, los
archivos confidenciales eran más difíciles de adquirir debido a que todavía
dependíamos del papel, sin considerar el volumen que suponía tener gran
cantidad de información. Actualmente es mucho más fácil robar y ocultar gran
cantidad de información porque tenemos a nuestro alcance las existentes
herramientas tecnológicas.
1.1. Eavesdropping y
Packet Sniffing (husmeo de paquetes)
En Internet esto es realizado por packet
sniffers, que son programas que monitorizan los paquetes que circulan por la de
red. El sniffer puede ser colocado tanto en una estación de trabajo conectada a
red, como a un router o a un Gateway de Internet, y esto puede ser realizado
por un usuario con legítimo acceso, o por un intruso que ha ingresado por otras
vías.
Muchas redes son vulnerables al
eavesdropping, o la pasiva intercepción (sin modificación) del tráfico de red.
Este método es muy utilizado para capturar
nombres de usuario y contraseñas, que generalmente viajan claros (sin cifrar)
al conectarse a sistemas de acceso remoto (RAS). También son utilizados para
capturar números de tarjetas de crédito y direcciones de emails entrantes y
salientes. El análisis de tráfico puede ser utilizado también para determinar relaciones
entre organizaciones o individuos.
1.2. Snooping
Los ataques de esta categoría tienen el
mismo objetivo que el sniffing, obtener la información sin modificarla. Sin
embargo los métodos son diferentes. Además de interceptar el tráfico de red, el
atacante captura y se apropia de los documentos, mensajes de e-mail, etc. y de
cualquier otra información de interés.
1.3. Reactuación
Uno
o varios mensajes legítimos son capturados y repetidos para producir un efecto
no deseado, como por ejemplo ingresar dinero repetidas veces en una cuenta
dada.
1.4. IP Spoofing (Suplantación de Identidad)
Es
una técnica de suplantación de identidad a través de la Red llevada a cabo por
un intruso, generalmente para usos de malware o de investigación.
Se
produce cuando el atacante determina y utiliza una dirección IP de una red, un
equipo o un componente de red sin tener autorización para ello. El atacante
puede actuar como si fuese la entidad identificada normalmente por la dirección
IP.
El
intruso usualmente utiliza un sistema para obtener información e ingresar en
otro, y luego utiliza este para entrar en otro, y en otro. Este proceso,
llamado "looping", tiene
la finalidad de evaporar la identificación y la ubicación del atacante. El
camino tomado desde el origen hasta el destino puede tener muchas estaciones,
que exceden obviamente los límites de un país.
Rastrear
el looping es casi imposible, ya que
el investigador debe contar con la colaboración del administrador de cada red
utilizada en la ruta, y pueden estar en distintas jurisdicciones y países.
De
acuerdo con la tecnología utilizada se pueden diferenciar varios tipos de
spoofing:
IP
spoofing: Consiste en la suplantación de la dirección IP de origen de un
paquete TCP/IP por otra dirección IP a la cual se desea suplantar. El atacante
genera paquetes de Internet con una dirección de red falsa en el campo
"from", pero que es aceptada por el destinatario de paquete.
ARP
spoofing: Es la suplantación de identidad por falsificación de tabla ARP.
Las tablas ARP (Address Resolution Protocol) son un protocolo de nivel de red
que relaciona una dirección de hardware con la dirección IP del computador. Por
lo tanto, al falsear la tabla ARP de la víctima, todo lo que ésta envíe, será
direccionado al atacante.
DNS
spoofing: Es una suplantación de identidad por nombre de dominio, la cual
consiste en una relación falsa entre IP y nombre de dominio.
Web
spoofing: Con esta técnica el atacante crea una falsa página web, muy
similar a la que suele utilizar el afectado con el objetivo de obtener
información de dicha víctima como contraseñas, información personal, datos
facilitados, páginas que visita con frecuencia, perfil del usuario, etc.
Phishing
Esta modalidad de spoofing da lugar al
"phishing" que consiste en estafar a través de la suplantación de la
imagen de una empresa o entidad pública y la consecuente obtención de
información sensitiva de los clientes, para luego ser usados de forma
fraudulenta.
Mail
spoofing: Suplantación de correo electrónico, bien sea de personas o de
entidades, con el objetivo de llevar a cabo un envío masivo de phising o spam.
Se considera
vandalismo electrónico. Los ataques pueden ser realizados contra una
organización o a computadoras personales.
2.1. Tampering o data
didling
Se refiere a la modificación desautorizada de los
datos, o al software instalado en un sistema, incluyendo borrado de archivos.
Este tipo de ataques son particularmente serios cuando el que lo realiza ha
obtenido derechos de administrador o supervisor, con la capacidad de ejecutar
cualquier comando y alterar o borrar cualquier información que puede incluso terminar en la destrucción
total del sistema en forma deliberada.
Esto puede ser realizado por insiders u outsiders,
generalmente con el propósito de fraude o dejar fuera de servicio a un
competidor. En caso de fraude existen casos como empleados bancarios que crean
falsas cuentas para derivar fondos de otras cuentas, estudiantes que modifican
calificaciones de exámenes, etc.
2.1.1.
Troyanos
Consiste en falsas versiones de un
software con el objetivo de averiguar información, borrar archivos, formatear
el disco duro, modificar un fichero, sacar un mensaje, tomar control remoto de
una computadora a través de Internet como fue el caso de Back Orifice y NetBus,
y para otros muchos propósitos perjudiciales.
A través de estas aplicaciones se
introduce dentro de un programa una rutina o un conjunto de instrucciones, para que dicho programa actúe de forma diferente
a como estaba previsto.
2.1.2.
Bombas Lógicas
Este suele ser el procedimiento de
sabotaje mas comúnmente utilizado por empleados descontentos. Consiste en
introducir un programa o rutina que en un momento o fecha determinada destruirá,
modificará la información o provocará el cuelgue del sistema.
3. Difusión de
Virus Computacionales
Consiste en líneas de código de programación que se
insertan en un programa legítimo y que actúan sobre ellos y sus datos de manera
similar a los virus biológicos: se propagan con facilidad de una computadora a
otra a través de la red.
Aunque la difusión de virus puede considerarse como
un ataque de tipo tampering, difiere de este porque puede ser ingresado al
sistema por un dispositivo externo (disquetes) o a través de la red (e-mail y
otros protocolos) sin intervención directa del atacante. Dado que el virus
tiene como característica propia su autoreproducción, no requiere de mucha
ayuda para propagarse a través de una LAN o WAN rápidamente. Es por esto que la
protección antivirus es una prioridad de instalación en los servidores, las estaciones
de trabajo, y los servidores de e-mail.
Cuando un virus llega a una computadora, causa
daños en los archivos de aplicaciones y de datos. Además de destruirlos, los
virus pueden alterar la transmisión de datos: su presencia provoca que las
aplicaciones de comunicación de datos procesen enormes cantidades de mensajes y
archivos inútiles, lo que reduce la eficiencia de transmisión y recepción de
mensajes y archivos legítimos.
Los peores virus son los que se instalan en los
sistemas operativos. Puesto que este interactúa con los archivos de programa y
datos utilizados en la computadora, el virus alojado puede dañar cada uno de
los archivos utilizados.
Existen aplicaciones o rutinas que pueden
ser utilizadas para estos efectos, o incluso creadas para tal fin. Por su
puesto, también es necesaria alguna forma para hacer que se introduzcan en un
sistema.
4.1. Explotación de Agujeros
Muchos sistemas están expuestos a
"agujeros" de seguridad (errores de diseño e implementación), que son
explotados por asaltantes de redes para acceder a archivos, obtener privilegios
o realizar sabotaje. Estas vulnerabilidades ocurren por varias razones. Miles de
"puertas invisibles" han sido descubiertas en aplicaciones de
software, sistemas operativos, protocolos de red, navegadores de Internet,
correo electrónico y servicios en LAN o WANs.
Sistemas operativos abiertos como UNIX o
Linux tienen agujeros mas conocidos y controlados que aquellos que existen en
sistemas operativos cerrados, como Windows NT.
4.2. Denial of Service
(Denegación de Servicio)
Hace que un recurso sea o
servicio sea inaccesible a los usuarios. Puede generarse por la saturación de
los puertos con flujo de información, haciendo que el servidor se sobrecargue. Es usada por los
llamados crackers para dejar
fuera de servicio a servidores objetivo.
Algunos
modos en que puede hacerse un DDoS pueden ser:
4.2.1.
Ampliación DoS (Ataque distribuido de denegación de servicio)
Se
lleva a cabo generando un gran flujo de información desde varios puntos de
conexión.
La
forma más común es a través de una botnet, técnica más usual y eficaz por su
sencillez tecnológica. Esta herramienta ha sido utilizada como un buen método
para comprobar la capacidad de tráfico que un ordenador puede soportar. Un
administrador de redes puede así conocer la capacidad real de cada máquina.
4.2.2.
Jamming o Flooding
Puede
decirse que es aquella actividad que afecta la línea de tiempo en alguna
comunicación. Es decir, logra que la información no llegue al receptor en el
momento en que debe hacerlo. Al afectar esto, se afecta también la relevancia
de la información. Ya que la información
solo es útil en determinado momento.
Este
tipo de ataques desactivan o saturan los recursos del sistema, haciendo que se
consuma toda la memoria o espacio en disco disponible, o también sobrecargando
la red.
Muchos
ISPs (proveedores de Internet) han sufrido bajas temporales del servicio por
ataques que explotan el protocolo TCP. El atacante puede saturar el sistema con
mensajes que requieren establecer conexión. Sin embargo, en vez de proveer la
dirección IP del emisor, el mensaje contiene falsas direcciones IP (spoofing).
El sistema responde al mensaje, pero como no recibe respuesta, acumula buffers
con información de las conexiones abiertas, sin dejar lugar a las conexiones
legítimas. En otro caso, host de Internet pueden darse de baja por el
"ping de la muerte", una versión-trampa del comando ping. Mientras
que el ping normal simplemente verifica si un sistema esta enlazado a la red,
el ping de la muerte causa el reboot o el apagado instantáneo del equipo.
5. Cracking
Este método hace referencia a la obtención
"por fuerza bruta" de aquellas claves que permiten ingresar a
servidores, aplicaciones, cuentas, y servicios en línea. Muchos passwords son
obtenidos fácilmente porque involucran el nombre u otro dato familiar del
usuario, y porque nunca se cambia. En este caso el ataque se simplifica e
involucra algún tiempo de prueba y error. Otras veces se realizan ataques
sistemáticos (incluso con varios computadores a la vez) con la ayuda de programas
especiales y "diccionarios" que prueban millones de posibles claves
hasta encontrar el password correcto. Es muy frecuente "crakear" un
password explotando agujeros en los algoritmos de encriptación utilizados, o en
la administración de las claves por parte la empresa.
6. Ataques de
hackers
Un hacker es aquella persona experta en alguna rama
de la tecnología informática, que se dedica a intervenir y/o realizar
alteraciones técnicas con buenas o malas intenciones sobre un producto o
dispositivo.
El hacker se vale de las vulnerabilidades del
sistema para utilizar sus conocimientos creando programas o ingeniando formas
para realizar cualquiera de los ataques ya explicados anteriormente y
posiblemente logrando muchas otras formas de ataques, dependiendo de la
habilidad del mismo.
Existen distintos tipos de hackers. “White hats” o “hackers
blancos”, son aquellos que utilizan sus conocimientos para poner a prueba
dispositivos o sistemas, de tal forma que los resultados ayuden a corregir
errores y/o desperfectos. Tienden a publicar lo que saben para el beneficio de
comunidades relacionadas al desarrollo de nuevos sistemas y aplicaciones. En cambio, los “black hats” o “hackers
negros” son aquellos que también intervienen en los sistemas pero de una manera
maliciosa, buscando la satisfacción económica o incluso personal. Sus acciones
con frecuencia consisten en ingresar violenta o ilegalmente a sistemas
privados, robar información, destruir datos y/o herramientas y colapsar o
apropiarse de sistemas.
Existen otros términos para referirse a potenciales
atacantes, aquí algunos. La diferencia de estos con los hackers es que
sencillamente los siguientes no tienen las habilidades, experiencia y conocimientos
del alto nivel que tienen los hackers. Pero los recursos y conocimientos de los
que se valen son suficientes para lograr un ataque.
Samurái:
Normalmente es alguien contratado para investigar fallos de seguridad y que
investiga casos de derechos de privacidad. Deciden y manejan la seguridad en
sistemas de redes.
Phreaker: Son
personas con conocimientos amplios tanto en teléfonos modulares (TM) como en
teléfonos móviles. Realizan ataques en esta modalidad.
Wannabe: Son
los que le interesa el tema de hacking y/o phreaking y están inicializándose en
el ámbito. Pueden llegar a convertirse en hackers si avanzan en experiencia y
aprendizaje.
Lammer o
script-kiddie: Pretende obtener beneficio del hacking sin los conocimientos
necesarios. Se limita a buscar y, descargar programas y herramientas de
intrusión informática, cibervandalismo y propagación de software malicioso, para luego ejecutarlos como simple usuario,
sin profundizar en el funcionamiento algorítmico y estructural, ni su
comportamiento sobre los sistemas en que opera. Presume de conocimientos o
habilidades que no posee.
Newbie:
Es un término utilizado comúnmente en comunidades en línea para describir a un
novato, en esta área; Es el que posee casi nada o muy poco conocimiento del tema.
Ataques Pasivos y Activos
En los
ataques pasivos, el atacante no altera la comunicación, sino que únicamente la
escucha o monitoriza, para obtener la información que está siendo transmitida.
Sus objetivos son la intercepción de datos y el análisis de tráfico.
En esta
categoría entran, por ejemplo, el snooping, el packet sniffing, y entre otros
similares que no involucran alteraciones importantes para un sistema.
Por su
parte, los ataques activos implican algún tipo de modificación del flujo de
datos transmitido o la creación de un falso flujo de datos.
En esta
categoría se encuentran el enmascaramiento spoofing, la modificación (tampering
o data diddling), que incluye también la posible destrucción y creación no
autorizada de datos o recursos, y la interrupción (jamming o flooding), y otros.
No hay comentarios:
Publicar un comentario