2. S (si está abierto y escuchando) al
recibir este segmento SYN (activa el indicador) y
envía una autentificación ACK de manera de
acuse de recibo a C. Si S está cerrado envía un
indicador RST .
3. C entonces ACKea (autentifica) a S. Ahora ya
puede tener lugar la transferencia de datos.
Cuando las aplicaciones conectadas terminan la
transferencia, realizaran otra negociación a tres bandas
con segmentos FIN en vez SYN .
La técnica TCP SYN Scarming, implementa un scaneo
de "media-apertura", dado que nunca se abre una sesión TCP
completa.
Se envía un paquete SYN (como si se fuera a usar
una conexión real) y se espera por la respuesta. Al
recibir un SYN/ ACK se envía, inmediatamente, un RST para
terminar la conexión y se registra este puerto como
abierto.
La principal ventaja de esta técnica de escaneo
es que pocos sitios están preparados para registrarlos. La
desventaja es que en algunos sistemas Unix, se necesitan
privilegios de administrador para construir estos paquetes
SYN.
4.4.4.3.3 TCP FIN Scarming- Stealth Port
Scarming
Hay veces en que incluso el scaneo SYN no es lo
suficientemente "clandestino" o limpio. Algunos sistemas
(Firewalls y filtros de paquetes) monitorizan la red en busca de
paquetes SYN a puertos restringidos.
Para subsanar este inconveniente los paquetes FIN, en
cambio, podrían ser capaces de pasar sin ser advertidos.
Este tipo de Scaneo está basado en la idea de que los
puertos cerrados tienden a responder a los paquetes FIN con el
RST correspondiente. Los puertos abiertos, en cambio, suelen
ignorar el paquete en cuestión.
Este es un comportamiento correcto del protocolo TCP,
aunque algunos sistemas, entre los que se hallan los de
Microsoft@, no cumplen con este requerimiento, enviando paquetes
RST siempre, independientemente de si el puerto está
abierto o cerrado. Como resultado, no son vulnerables a este tipo
de scaneo. Sin embargo, es posible realizarlo en otros sistemas
Unix.
Este último es un ejemplo en el que se puede
apreciar que algunas vulnerabilidades se presentan en las
aplicación de tecnologías (en este caso el
protocolo TCP nacido en los años '70) y no sobre sus
implementaciones. Es más, se observa que una
implementación incorrecta (la de Microsoft) soluciona el
problema.
"Muchos de los problemas globales de vulnerabilidades
son inherentes al diseño original de algunos
protocolos".
4.4.4.3.4 Fragmentation Scarming
Esta no es una nueva técnica de scaneo como tal,
sino una modificación de las anteriores. En lugar de
enviar paquetes completos de sondeo, los mismos se particionan en
un par de pequeños fragmentos IP .Así, se logra
partir una cabecera IP en distintos paquetes para hacerlo
más difícil de monitorizar por los filtros que
pudieran estar ejecutándose en la máquina
objetivo.
Sin embargo, algunas implementaciones de estas
técnicas tienen problemas con la gestión de este
tipo de paquetes tan pequeños, causando una caída
de rendimiento en el
Sistema del intruso o en el de la víctima.
Problemas de ésta índole convierte en detectables a
este tipo de ataque.
4.4.4.4 EA VESDROPPING-PACKET SNIFFING
Muchas redes son vulnerables al Eavesdropping, o a la
pasiva intercepción (sin modificación) del
tráfico de red.
Esto se realiza con Packet Sniffers, los cuales son
programas que monitorean los paquetes que circulan por la red.
Los Sniffers pueden ser colocados tanto en una estación de
trabajo conectada a la red como a un equipo Router o a un Gateway
de Internet, y esto puede ser realizado por un usuario con
legítimo acceso, o por un intruso que ha ingresado por
otras vías.
Cada maquina conectada a la red (mediante una placa con
una dirección única) verifica la dirección
destino de los paquetes TCP. Si estas direcciones son iguales
asume que el paquete enviado es para ella, caso contrario libera
el paquete para que otras placas lo analicen.
Un Sniffer consiste en colocar a la placa de red en un
modo llamado promiscuo, el cual desactiva el filtro de
verificación de direcciones y por lo tanto todos los
paquetes enviados a la red llegan a esta placa (computadora donde
está instalado el Sniffer).
Inicialmente este tipo de software, era
únicamente utilizado por los administradores de redes
locales, aunque con el tiempo llegó a convertirse en una
herramienta muy usada por los intrusos.
Actualmente existen Sniffers para capturar cualquier
tipo de información especifica. Por ejemplo passwords de
un recurso compartido o de acceso a una cuenta, que generalmente
viajan sin encriptar al ingresar a sistemas de acceso remoto.
También son utilizados para capturar números de
tarjetas de crédito y direcciones de e-mails entrantes y
salientes. El análisis de tráfico puede ser
utilizado también para determínar relaciones entre
organizaciones e individuos.
Para realizar estas funciones se analizan las tramas de
un segmento de red, y presentan al usuario sólo las que
interesan.
Normalmente, los buenos SnifIers, no se pueden detectar,
aunque la inmensa mayoría, y debido a que están
demasiado relacionados con el protocolo TCP/IP , si pueden ser
detectados con algunos trucos.
4.4.4.5 SNOOPING-DOWNLOADING
Los ataques de esta categoría tienen el mismo
objetivo que el Sniffing; obtener la información sin
modificarla.
Sin embargo los métodos son diferentes.
Aquí, además de interceptar el tráfico de
red, el atacante ingresa a los documentos, mensajes de correo
electrónico y otra información guardada, realizando
en la mayoría de los casos un downloading (copia de
documentos) de esa información a su propia computadora,
para luego hacer un análisis exhaustivo de la
misma.
El Snooping puede ser realizado por simple curiosidad,
pero también es realizado con fines de espionaje y robo de
información o software. Los casos mas resonantes de este
tipo de ataques fueron: el robo de un archivo con mas de 1700
números de tarjetas de crédito desde una
compañía de música mundialmente famosa, y la
difusión ilegal de reportes oficiales reservados de las
Naciones Unidas, acerca de la violación de derechos
humanos en algunos países europeos en estado de
guerra.
4.4.5 ATAQUES DE
AUTENTIFICACIÓN
Este tipo de ataque tiene como objetivo engañar
al sistema de la víctima para ingresar al mismo.
Generalmente este engaño se realiza tomando las sesiones
ya establecidas por la víctima u obteniendo su nombre de
usuario y password.
4.4.5.1 SPOOFING-LOOPING
Spoofing puede traducirse como "hacerse pasar por otro"
y el objetivo de esta técnica, justamente, es actuar en
nombre de otros usuarios, usualmente para realizar tareas de
Snooping o Tampering (ver a continuación Ataques de
Modificación y Daño ).
Una forma común de Spoofing es conseguir el
nombre y el password de un usuario legítimo para, una vez
ingresado al sistema, tomar acciones en nombre de
él.
El intruso usualmente utiliza un sistema para obtener
información e ingresar en otro, y luego utiliza este para
entrar en otro, y así sucesivamente. Este proceso, llamado
Looping, tiene la finalidad de "evaporar" la
identificación y la ubicación del
atacante.
El camino tomado desde el origen hasta el destino puede
tener muchas estaciones, que exceden obviamente los
límites de un país. Otra consecuencia del Looping
es que una compañía o gobierno pueden suponer que
están siendo atacados por un competidor o una agencia de
gobierno extranjera, cuando en realidad están seguramente
siendo atacado por un Insider, o por un estudiante a miles de
Kilómetros de distancia, pero que ha tomado la identidad
de otros.
La investigación de procedencia de un Looping es
casi imposible, ya que el investigador debe contar con la
colaboración de cada administrador de cada red utilizada
en la ruta.
El envío de falsos e-mails es otra forma de
Spoofing que las redes permiten. Aquí el atacante
envía e-mails a nombre de otra persona con cualquier
motivo y objetivo. Tal fue el caso de una universidad en EE. UU
.que en 1998, que debió reprogramar una fecha completa de
exámenes ya que alguien en nombre de la secretaría
había cancelado la fecha verdadera y enviado el mensaje a
toda la nómina de estudiantes.
Muchos ataques de este tipo comienzan con
Ingeniería Social, y los usuarios, por falta de cultura,
facilitan a extraños sus identificaciones dentro del
sistema usualmente través de una simple llamada
telefónica.
4.4.5.2 SPOOFING
Este tipo de ataques (sobre protolocos) suele implicar
un buen conocimiento del protocolo en el que se va a basar el
ataque. Los ataques tipo Spoofing bastante conocidos son el IP
Spoofing, el DNS Spoofing y el Web Spoofing.
4.4.5.2.1 IP Spoofing
Con el IP Spoofing, el atacante genera paquetes de
Internet con una dirección de red falsa en el campo From,
pero que es aceptada por el destinatario del paquete. Su
utilización más común es enviar los paquetes
con la dirección de un tercero, de forma que la
víctima "ve" un ataque proveniente de esa tercera red, y
no la dirección real del intruso.
El esquema con dos puentes es el siguiente:
Gráfico 4.3 -Ataque
Spooflng
Nótese que si la Victima descubre el ataque
verá a la PC-2 como su atacante y no el verdadero
origen.
Este ataque se hizo famoso al usarlo Kevin
Mitnick.
4.4.5.2.2 DNS Spoofing
Este ataque se consigue mediante la manipulación
de paquetes UDP pudiéndose comprometer el servidor de
nombres de dominios (Domain Name Server-DNS) de Windows NT©.
Si se permite el método de recursión en la
resolución de "Nombres – Dirección IP" en el DNS,
es posible controlar algunos aspectos del DNS remoto. La
recursión consiste en la capacidad de un servidor de
nombres para resolver una petición de dirección IP
a partir de un nombre que no figura en su base de datos. Este es
el método de funcionamiento por defecto.
4.4.5.3 Web Soofing
En este caso el atacante crea un sitio web cmpleto
(falso) similar al que la víctima desea entrar. Los
accesos a este sitio están dirigidos por el atacante.
Permitiéndole monitorear todas las acciones de la
víctima, desde sus datos hasta las passwords,
números de tarjeta de créditos, etc.
El atacante también es libre de modificar
cualquier dato que se esté transmitiendo entre el servidor
original y la víctima o viceversa.
4.4.5.5 UTILIZACIÓN DE
BACKDOORS
"Las puertas traseras son trozos de código en un
programa que permiten a quien las conoce saltarse los
métodos usuales de autentificación para realizar
ciertas tareas.
Habitualmente son insertados por los profamadores del
sistema para agilizar la tarea de probar código durante la
fase de desarrollo" .
Esta situación se convierte en una falla de
seguridad si se mantiene, involuntaria o intencionalmente, una
vez terminado el producto ya que cualquiera que conozca el
agujero o lo encuentre en su código podrá saltarse
los mecanismos de control normales.
4.4.5.6 UTILIZACIÓN DE EXPLOITS
Es muy frecuente ingresar a un sistema explotando
agujeros en los algoritmos de encriptación utilizados, en
la administración de las claves por parte la empresa, o
simplemente encontrando un error en los programas
utilizados.
Los programas para explotar estos "agujeros" reciben el
nomrne de Exploits y lo que realizan para aprovechar la
debilidad, fallo o error hallado en el sistema (hardware o
software) para ingresar al mismo.
Nuevos Exploits (explotando nuevos errores en los
sistemas) se publican cada día por lo que mantenerse
informado de los mismos y de las herramientas para combatirlos es
de vital importancia.
4.4.5.7 OBTENCIÓN DE PASSWORDS
Este método comprende la obtención por
"Fuerza Bruta.. de aquellas claves que permiten ingresar a los
sistemas. aplicaciones. cuentas, etc. atacados.
Muchas passwords de acceso son obtenidas
fácilmente porque involucran el nombre u otro dato
familiar del usuario Y. además. esta nunca (o rara vez) se
cambia. En esta caso el ataque se simplifica e involucra
algún tiempo de prueba y error. Otras veces se
realizan
ataques sistemáticos (incluso con varias
computadoras a la vez) con la ayuda de programas especiales y
."diccionarios" que prueban millones de posibles claves hasta
encontrar la password correcta.
La política de administración de password
será discutida en capítulos posteriores.
4.4.5.7.1 Uso de Diccionarios
Los Diccionarios son archivos con millones de palabras,
las cuales pueden ser posibles passwords de los usuarios. Este
archivo es utilizado para descubrir dicha password en pruebas de
fuerza bruta.
El programa encargado de probar cada una de las palabras
encripta cada una de ellas.
mediante el algoritmo utilizado por el sistema atacado,
y compara la palabra encriptada contra el archivo de passwords
del sistema atacado (previamente obtenido). Si coinciden se ha
encontrado la clave de acceso al sistema, mediante el usuario
correspondiente a la clave hallada.
Actualmente es posible encontrar diccionarios de gran
tamaí1o orientados, incluso. a un área
específico de acuerdo al tipo de organización que
se este atacando.
En la tabla 4.4 podemos observar el tiempo de
búsqueda de una clave de acuerdo a su longitud y tipo de
caracteres utilizados. La velocidad de búsqueda se supone
en 100.000 passwords por segundo. aunque este número suele
ser mucho mayor dependiendo del programa utilizado.
Cantidad de Caracteres | 26-Letras | 36- Letras y | 52-Mayúsculas y | 96-Todos los caracteres |
6 | 51 minutos | 6 horas | 2,3 dias | 3 meses |
7 | 22,3 horas | 9 dias | 4 meses | 24 años |
8 | 24 dias | 10,5 meses | 17 años | 2.288 años |
9 | 21 meses | 32,6 años | 890 años | 219.601 años |
10 | 45 años | 1.160 años | 45.840 años | 21.081.705 años |
Tabla 4.4 -Cantidad de claves generadas
según el número de caracteres empleado
Aquí puede observarse la importancia de la
utilización de passwords con al menos 8 caracteres de
longitud y combinando todos los caracteres disponibles. En el
siguiente Capítulo podrá estudiarse las normas de
claves relativamente seguras y resistentes.
4.4.6 DENIAL OF SERVICE (DoS)
Los protocolos existentes actualmente fueron
diseñados para ser empleados en una comunidad abierta y
con una relación de confianza mutua. La realidad indica
que es más fácil desorganizar el funcionamiento de
un sistema que acceder al mismo; así los ataques de
Negación de Servicio tienen como objetivo saturar los
recursos de la víctima de forma tal que se inhabilita los
servicios brindados por la misma.
Mas allá del simple hecho de bloquear los
servicios del cliente, existen algunas rezones importantes por
las cuales este tipo de ataques pueden ser útiles a un
atacante:
1. Se ha instalado un troyano y se necesita que
la víctima reinicie la máquina para que surta
efecto.2. Se necesita cubrir inmediatamente sus
acciones o un uso abusivo de CPU. Para ello provoca un
"crash" del sistema, generando así la sensación
de que ha sido algo pasajero y raro.3. El intruso cree que actúa bien al
dejar fuera de servicio algún sitio web que le
disgusta. Este accionar es común en sitios
pornográficos, religiosos o de abuso de
menores.4. El administrador del sistema quiere
comprobar que sus instalaciones no son vulnerables a este
tipo de ataques.5. El administrador del sistema tiene un
proceso que no puede "matar" en su servidor y, debido a este,
no puede acceder al sistema. Para ello, lanza contra
sí mismo un ataque DoS deteniendo los
servicios.
JAMMING O FLOODING
Este tipo de ataques desactivan o saturdll los recursos
del sistema, Por ejemplo, un atacante puede consumir toda la
memoria o espacio en disco disponible, así como enviar
tanto tráfico a la red que nadie más pueda
utilizarla.
Aquí el atacante satura el sistema de mensajes
que requieren establecer conexión. Sin embargo, en vez de
proveer la dirección IP del emisor, el mensaje contiene
falsas direcciones IP usando spoofing y Looping. El sistema
responde al mensaje, pero como no recibe respuesta, acumula
buffers con información de las conexiones abiertas, no
dejando lugar a las conexiones legítimas. Muchos ISPs
(proveedores de Internet) han sufrido bajas temporales del
servicio por ataques que explotan el protocolo TCP. Muchos Hosts
de Internet han sido dados de baja por el "ping de la muerte"
(una versión-trampa del comando ping).
Mientras que el ping normal simplemente verifica si un
sistema esta enlazado a la red, el ping de la muerte causa el
bloqueo instantáneo del equipo. Esta vulnerabilidad ha
sido ampliamente utilizada en el pasado pero, aún hoy
pueden encontrarse sistemas vulnerables.
Otra acción común es la de enviar millares
de e-mails sin sentido a todos los usuarios posibles en forma
continua, saturando los sistemas destinos.
4.4.6.9 E-Mail Bombing-Spamming
El e-mail Bombing consiste en enviar muchas veces un
mensaje idéntico a una misma dirección. saturando
así el mailbox del destinatario.
El Spamming, en cambio se refiere a enviar un e-mail a
miles de usuarios, hayan estos solicitados el mensaje o no. Es
muy utilizado por las empresas para publicitar sus
productos.
El Spamming esta siendo actualmente tratado por las
leyes europeas (principalmente España) como una
violación de los derechos de privacidad del
usuario.
4.4.7 ATAQUES DE
MODIFICACIÓN-DAÑO
4.4.7.1 TAMPERING O DATA DIDDLING
Esta categoría se refiere a la
modificación desautorizada de los datos o el software
instalado en el sistema víctima, incluyendo borrado de
archivos. Son particularmente serios cuando el que lo realiza ha
obtenido derechos de administrador o Supervisor, con la capacidad
de disparar cualquier comando y por ende alterar o borrar
cualquier información que puede incluso terminar en la
baja total del sistema.
Aún así, si no hubo intenciones de "bajar"
el sistema por parte del atacante; el administrador posiblemente
necesite darlo de baja por horas o días hasta chequear y
tratar de recuperar aquella información que ha sido
alterada o borrada.
Como siempre, esto puede ser realizado por Insiders o
Outsiders, generalmente con el propósito de fraude o de
dejar fuera de servicio a un competidor.
Son innumerables los casos de este tipo: empleados
bancarios (o externos) que crean falsas cuentas para derivar
fondos de otras cuentas, estudiantes que modifican calificaciones
de exámenes, o contribuyentes que pagan para que se les
anule una deuda impositiva.
Múltiples Web Sites han sido víctimas del
cambio en sus páginas por imágenes ( o manifiestos)
terroristas o humorísticos, como el ataque de The Mentor,
ya visto, a la NASA; o la reciente modificación del Web
Sites del CERT (mayo de 2001).
Otras veces se reemplazan versiones de software por
otroS con el mismo nombre pero que incorporan código
malicioso (virus, troyanos, etc.). La utilización de
programas troyanos y difusión de virus esta dentro de esta
categoría, y se profundizará sobre el tema en otra
sección el presente capítulo.
4.4.7.2 BORRADO DE HUELLAS
El borrado de huellas es una de las tareas mas
importantes que debe realizar el intruso después de
ingresar en un sistema, ya que, si se detecta su ingreso, el
administrador buscará como conseguir "tapar el hueco" de
seguridad, evitar ataques futuros e incluso rastrear al
atacante.
Las Huellas son todas las tareas que realizó el
intruso en el sistema y por lo general son almacenadas en Logs
(archivo que guarda la información de lo que se realiza en
el sistema) por el sistema operativo.
Los archivos logs son una de las principales
herramientas con las que cuenta un administrador para conocer los
detalles de las tareas realizadas en el sistema y la
detección de intrusos.
4.4.7.3 ATAQUES MEDIANTE JAVA APPLETS
Java es un lenguaje de programación interpretado,
desarrollado inicialmente por la empresa SUN .Su mayor
popularidad la merece por su alto grado de seguridad. Los
más usados navegadores actuales, implementan
Máquinas Virtuales Java (MVJ) para ser capacesde ejecutar
programas (Applets) de lava.
Estos Applet, al fin y al cabo, no son más que
código ejecutable y como tal, susceptible de ser
manipulado por intrusos. Sin embargo, partiendo del
diseño, lava siempre ha pensado en la seguridad del
sistema. Las restricciones a las que somete a los Applets Son de
tal envergadura (imposibilidad de trabajar con archivos a no ser
que el usuario especifique lo contrario, imposibilidad de acceso
a zonas de memoria y disco directamente, firma digital, etc. )
Que es muy difícil lanzar ataques. Sin embargo, existe un
grupo de expertos especializados en descubrir fallas de seguridad
en las implementaciones de las MV J .-
4.4.7.4 ATAQUES CON JAVASCRIPT y
VBSCRIPT
JavaScript (de la empresa Netscape®) y VBScript (de
Microsoft®) son dos lenguajes usados por los
diseñadores de sitios Web para evitar el uso de lava. Los
programas realizados son interpretados por el navegador
.
Aunque loS fallos son mucho mas numerosos en versiones
antiguas de Javascript, actualmente se utilizan para explotar
vulnerabilidades específicas de navegadores y servidores
de correo ya que no se realiza ninguna evaluación sobre si
el código.
4.4.7.5 ATAQUES MEDIANTE ACTIVEX
ActíveX es una de las tecnologías
más potentes que ha desarrollado
Microsoft®.
Mediante ActiveX es posible reutilizar código,
descargar código totalmente funcional de un sitio remoto,
etc. Esta tecnología es considerada la respuesta de
Microsoft@ a Java.
ActiveX soluciona los problemas de seguridad mediante
certificaciones y firmas digitales.
Una Autoridad Certificadora (AC) expende un certificado
que acompaña a los controles activos ya una firma digital
del programador.
Cuando un usuario descarta una página con un
control. se le preguntará si confía en la AC que
expendió el certificado y/o en el control ActiveX. Si el
usuario acepta el control, éste puede pasar a ejecutarse
si ningún tipo de restricciones (solo las propias que
tenga el usuario en el sistema operativo). Es decir, la
responsabilidad de la seguridad del sistema se deja en manos de!
usuario, ya sea este un experto cibernauta consciente de los
riesgos que puede acarrear la acción o un perfecto novato
en la materia.
Esta última característica es el mayor
punto débil de los controles ActiveX ya que la
mayoría de los usuarios aceptan el certificado sin
siquiera leerlo, pudiendo ser esta la fuente de un ataque con un
control dañino.
La filosofía de ActiveX es que las autoridades de
certificación se fían de la palabra del programador
del control. Es decir, el programador se compromete a firmar un
documento que asegura que el control no es nocivo, evidentemente
siempre hay programadores con pocos escrúpulos o con ganas
de experimentar.
Así, un conocido grupo de hackers
alemanes[10]desarrolló un control ActiveX
maligno que modificaba el programa de Gestión Bancaria
Personal Quicken95 de tal manera que si un usuario aceptaba el
control, éste realizaba la tarea que supuestamente
tenía que hacer y además modificaba el Quicken,
para que la próxima vez que la victima se conectara a su
banco, se iniciara automáticamente una transferencia a una
cuenta del grupo alemán .
Otro controi ActiveX muy especialmente malévolo
es aquel que manipula el código de ciertos exploradores,
para que éste no solicite confinación al usuario a
la hora de descargar otro control activo de la Web. Es decir,
deja totalmente descubierto, el sistema de la víctima, a
ataques con tecnología ActiveX.
La autentificación de usuarios mediante
Certificados y las Autoridades Certificadoras será
abordada con profundidad en capítulos
posteriores.
4.4.7.6 VULNERABILIDADES EN LOS
NAVEGADORES
Generalmente los navegadores no fallan por fallos
intrínsecos, sino que fallan las tecnologías que
implementan, aunque en este punto analizaremos realmente fallos
intrínsecos de los navegadores, como pueden ser los
"Buffer Overtfow".
los "Buffer Overtfow" consisten en explotar una
debilidad relacionada con los buffers que la aplicación
usa para almacenar las entradas de usuario. Por ejemplo, cuando
el usuario escribe una dirección en formato URL
ésta se guarda en un buffer para luego procesarla. Si no
se realizan las oportunas operaciones de comprobación, un
usuario podría manipular estas direcciones.
Los protocolos usadods pueden ser http, pero
también otros menos conocidos, internos de cada
explorador, como el "res: " o el "mk: ". Precisamente existen
fallos de seguridad del tipo "Buffer Overtfow" en la
implementación de estos dos protocolos.
Además la reciente aparición (octubre de
2000) de vulnerabilidades del tipo Transversal en el servidor Web
Internet Infonnation Server de la empresa Microsoft), explotando
fallas en la traducción de caracteres Unicode, puso de
manifiesto cuan fácil puede resultar explotar una cadena
no validada. Por ejemplo:
www.servidor.com/-vtin/..%CO%af../..%cO%af../..%cO%af../winnt/svstem32/cmd.exe?/c+dir+c:
devuelve el directorio de la unidad c: del servidor
deseado.
Para poder lanzar este tipo de ataques hay que tener un
buen conocimiento de lenguaje Assembler y de la estl11ctura
interna de la memoria del sistema operativo utilizado o bien,
leer la documentación de sitios web donde explican estas
fallas.
Tambien se puede citar el fallo de seguridad descubierto
por Cybernost Industries® relativo a los archivos "./nk" y
".url"de Windows 95c.1 y NT" respectivamente. Algunas versiones
de Microsoft Internet Explorer podían ser utilizadas para
ejecutar la aplicación que se deseara siempre que
existiera en la computadora de la víctima (por ejemplo el
tan conocido format.com).
Para más información relacionada con los
ataques intrínsecos a los navegadores, se aconsejan las
páginas no oficiales de seguridad tanto en Internet
Explorer como en Netscape comunicator
4.4.8 ERRORES DE DISENO, IMPLEMENTACIÓN Y
OPERACIÓN
Muchos sistemas están expuestos a "agujeros't de
seguridad que son explotados para acceder a archivos, obtener
privilegios o realizar sabotaje. Estas vulnerabilidades ocurren
por variadas razones, y miles de "puertas invisibles" son
descubiertas cada día en sistemas operativos, aplicaciones
de software, protocolos de red, browsers de Internet, correo
electrónico y todas clase de servicios informáticos
disponibles.
Los Sistemas operativos abiertos (como Unix y Linux)
tienen agujeros mas conocidos y controlados que aquellos que
existen en sistemas operativos cerrados (como Windows). La
importancia y ventaja del código abierto radica en miles
de usuarios analizan dicho código en busca de posibles
bugs y ayudan a obtener soluciones en forma inmediata.
Constantemente se encuentran en Internet avisos de
nuevos descubrimientos de problemas de seguridad, herramientas de
Hacking y Exploits que los explotan, por lo que hoy
también se hace indispensable contar con productos que
conocen esas debilidades, puedan diagnosticarlas y actualizar el
programa afectado con el parche adecuado.
4.4.9 IMPLEMENTACIÓN DE ESTAS
TÉCNICAS
A lo largo de mi investigación he recopilando
distinto tipos de programas que son la aplicación de las
distintas técnicas enumeradas anteriormente. La
mayoría de las mismos son encontrados fácilmente en
Internet en versiones ejecutables, y de otros se encuentra el
código fuente. generalmente en lenguaje C, Java y
Perl.
Cada una de las técnicas explicadas pueden ser
utilizadas por un intruso en un ataque.
A continuación se intentarán establecer el
orden de utilización de las mismas, pero siempre
remarcando que un ataque insume mucha paciencia,
imaginación acumulación de conocimientos y
experiencia dada, en la mayoría de los casos por prueba y
error.
1. Identificación del problema
(víctima): en esta etapa se recopila toda la
información posible de la víctima. Cuanta
más información se acumule, más exacto y
preciso será el ataque, más fácil
será eliminar las evidencias y más dificil
será su rastreo.2. Exploración del sistema
víctima elegido: en esta etapa se recopila
información sobre los sistemas activos de la
víctima, cuales son los más vulnerables y
cuales seencuentran disponibles. Es importante remarcar que
si la victima parece apropiada en la etapa de
Identificación, no significa que esto resulte
así en esta segunda etapa.3. Enumeración: en esta etapa se
identificaran las cuentas activas y los recursos compartidos
mal protegidos. La diferencia con las etapas anteriores es
que aquí se establece una conexión activa a los
sistemas y la realización de consultas dirigidas.
Estas intrusiones pueden (y deberían) ser registradas,
por el administrador del sistema, o al menos detectadas para
luego ser bloqueadas.4. Intrusión propiamente dicha: en esta
etapa el intruso conoce perfectamente el sistema y sus
debilidades y comienza a realizar las tareas que lo llevaron
a trabajar, en muchas ocasiones, durante meses.
Contrariamente a lo que se piensa, los sistemas son
difíciles de penetrar si están bien administrados y
configurados. Ocasionalmente los defectos propios de la
arquitectura de los sistemas proporciona un fácil acceso,
pero esto puede ser, en la mayoría de los casos, subsanado
aplicando las soluciones halladas.
El anexo m se brinda una lista de herramientas
disponibles, las cuales son la implementación de las
técnicas estudiadas.
4.4.10 ¿CÓMO DEFENDERSE DE ESTOS
ATAQUES?
La mayoría de los ataques mencionados se basan en
fallos de diseño inherentes a Internet (y sus protocolos)
ya los sistemas operativos utilizados, por lo que no son
"solucionables" en un plazo breve de tiempo.
La solución inmediata en cada caso es mantenerse
informado sobre todos los tipos de ataques existentes y las
actualizaciones que permanentemente lanzan las empresas
desarrolladoras de software, principalmente de sistemas
operativos.
Las siguientes son medidas preventivas. Medidas que toda
red y administrador deben conocer y desplegar cuanto
antes:
1. Mantener las máquinas actualizadas y
seguras físicamente.2. Mantener personal especializado en
cuestiones de seguridad (o subcontratarlo ).3. Aunque una máquina no contenga
información valiosa, hay que tener en cuenta que puede
resultar útil para un atacante, a la hora de ser
empleada en un DOS coordinado o para ocultar su verdadera
dirección.4. No permitir el tráfico "broadcast"
desde fuera de nuestra red. De esta forma evitamos ser
empleados como "multiplicadores" durante un ataque
Smurf.5. Filtrar el tráfico IP
Spoof.6. Auditorias de seguridad y sistemas de
detección.7. Mantenerse informado constantemente sobre
cada unas de las vulnerabilidades encontradas y parches
lanzados. Para esto es recomendable estar suscripto a listas
que brinden este servicio de información.8. Por último, pero quizás lo
más importante, la capacitación continua del
usuario.
4.5 CREACIÓN y DIFUSIÓN DE
VIRUS
Quizás uno de los temas más famosos y
sobre los que más mitos e historias fantásticas se
corren en el ámbito informático sean los
Virus.
Pero como siempre en esta obscura realidad existe una
parte que es cierta y otra que no
lo es tanto. Para aclarar este enigma veamos porque se
eligió la palabra Virus (del latín
Veneno) y que son realmente estos
"parásitos".
4.5.1 VIRUS INFORMÁTICOS VS. VIRUS
BIOLÓGICOS
Un análisis comparativo de analogías y
diferencias entre las dos "especies" , muestra que las
similitudes entre ambos son poco menos que asombrosas. Para
notarlas ante todo debemos saber con exactitud que es un Virus
Informático y que es un Virus Biológico.
Virus informático: (VI): Pequeño programa
, invisible para el usuario (no detectable por el sistema
operativo) y de actuar específico y subrepticio, cuyo
código incluye información suficiente y necesaria
para que, utilizando los mecanismos de ejecución que le
ofrecen otros programas a través del microprocesador,
puedan reproducirse formando réplicas de sí mismos
(completas, en forma discreta, en un archivo, disco o computadora
distinta a la
que ocupa), susceptibles de mutar; resultando de dicho
proceso la modificación, alteración y/o
destrucción de los programas, información y/o
hardware afectados (en forma lógica).
"Un virus responde al modelo DAS: Dañino,
autorreplicante y subrepticio"
Virus Biológico (VB): Fragmentos de ADN o ARN
cubiertos de una capa proteica. Se reproducen solo en el interior
de células vivas, para lo cual toman el control de sus
enzimas y metabolismo. Sin esto son tan inertes como cualquier
otra macromolécula.18
Algunas analogías entre ambos son:
1. Los VB están compuestos por
ácidos nucleicos que contienen información
(programa dañino o V1) suficiente y necesaria para que
utilizando los ácidos de la célula
huésped (programa infectado por los VI) puedan
reproducirse a sí mismos.2. Los VB no poseen metabolismo propio. por lo
tanto no manifiestan actividad fuera del huésped. Esto
también sucede en los VI, por ejemplo, si se apaga la
máquina o si el virus se encuientra en un disquete que
está dentro de un cajón.3. El tamaño de un VB es relativamente
pequedo en comparación con las células que
infectan. Con los VI sucede lo mismo. Tanto los VB como los
VI causan un daño sobre el huésped.4. Ambos Virus Inician su actividad en forma
oculta y sin conocimiento de su huésped, y suelen
hacerse evidentes luego de que el daño ya es demasiado
alto como para corregirse.
La finalidad de un VB (según la ciencia) es la
reproducción y eventual destrucción del
huésped como consecuencia. La de los VI pueden ser muchos
los motivos de su creación (por parte de su autor), pero
también terminan destruyendo o modificando de alguna
manera a su huésped. Ambos virus contienen la
información necesaria para su replicación y
eventual destrucción. La diferencia radica en la forma de
contener esta información: en los VB es un código
gen ético y en los VI es código binario.
El soporte de la información también es
compartida por ambos "organismos". En los VB el soporte lo brinda
el ADN 0 ARN (soporte orgánico). En los VI el soporte es
un medio magnético (inorgánico)
Ambos tipos de virus son propagados de diversa formas (y
raramente en todas ellas). En el caso de los VB su medio de
propagación es el aire, agua, contacto directo, etc. Los
VI pueden propagarse introduciendo un disquete infectado en una
computadora sana (y ejecutando la zona infectada, ) o viceversa:
de RAM infectada a un disquete sano; o directamente aprovechando
un flujo de electrones: MODEM, red, etc.
En ambos casos sucede que la reproducción es de
tipo replicativo del original y cuya exactitud dependerá
de la existencia de mutaciones o no.
Ambas entidades cumplen con el patrón de
epidemiología médica.
El origen de una entidad generalmente es desconocido,
pero lo que se sabe con exactitud es que los VI son producidos
por seres humanos y que los VB son entidades de origen
biológico y últimamente de origen humano (armas
biológicas).
Son, sin dudas, muchas más analogías que
pueden encontrarse haciendo un análisis más
exhaustivo de ambas entidades, pero que trascenderían los
límites de este informe. La idea solamente dejar bien en
claro que no existe ningún extraño, oscuro o
sobrenatural motivo que dé explicación a un VI.
Simplemente es un programa más, que cualquiera de nosotros
sería capaz de concebir… con las herramientas e
intenciones apropiadas del caso.
4.5.4 DESCRIPCIÓN DE UN VIRUS
Si bien un VI es un ataque de tipo Tampering, difiere de
este porque puede ser ingresado al sistema por un dispositivo
externo (diskettes) o a través de la red (e-mails u otros
protocolos) sin intervención directa del atacante. Dado
que el virus tiene como característica propia su
autorreproducción, no necesita de mucha ayuda para
propagarse rápidamente.
Existen distintos tipos de virus, como aquellos que
infectan archivos ejecutables (.EXE, .COM, .DLL, etc), los
sectores de Boot y la Tabla de Partición de los
discos.
Actualmente los que causan mayores problemas son los
macro-virus y script-virus, que están ocultos en simples
documentos, planillas de cálculo, correo
electrónico y aplicaciones que utiliza cualquier usuario
de PC. La difusión se potencia con la posibilidad de su
transmisión de un continente a otro a través de
cualquier red o Internet. Y además son multiplataforma, es
decir, no dependen de un sistema operativo en particular, ya que
un documento puede ser procesado tanto en Windows 95/98/NT/2000,
como en una Macintosh u otras.
4.5.4.1 TÉCNICAS DE
PROPAGACIÓN
Actualmente las técnicas utilizadas por los virus
para logra su propagación y subsistencia son muy variadas
y existen aquellos que utilizan varias de ellas para
lograrlo.
1. Disquetes y otros medios removibles. A la
posibilidad de que un disquete contenga un archivo infectado
se une el peligro de que integre un virus de sector de
arranque {Boot). En este segundo caso, y si el usuario lo
deja en la disquetera, infectará el ordenador cuando
lo encienda, ya que el sistema' intentará arrancar
desde el disquete.2. Correo electrónico: el usuario no
necesita hacer nada para recibir mensajes que en muchos casos
ni siquiera ha solicitado y que pueden llegar de cualquier
lugar del mundo. Los mensajes de correo electrónico
pueden incluir archivos, documentos o cualquier objeto
ActiveX-Java infectado que, al ejecutarse, contagian la
computadora del usuario. En las últimas generaciones
de virus se envían e-mails sin mensajes pero con
archivos adjuntos (virus) que al abrirlos proceden a su
ejecución y posterior infección del sistema
atacado. Estos virus poseen una gran velocidad de
propagación ya que se envían
automáticamente a los contactos de la libreta de
direcciones del sistema infectado.3. IRC o Chat: las aplicaciones de
mensajería instantánea (ICQ, AOL Instant
Messenger, etc.) o Internet Relay Chat (IRC), proporcionan un
medio de comunicación anónimo, rápido,
eficiente, cómodo y barato. Sin embargo,
también son peligrosas, ya que los entornos de chat
ofrecen, por regla general, facilidades para la
transmisión de archivos, que conllevan un gran riesgo
en un entorno de red.4. Páginas web y transferencia de
archivos vía FTP: los archivos que se descargan de
Internet pueden estar infectados, y pueden provocar acciones
dañinas en el sistema en el que se
ejecutan.5. Grupos de noticias: sus mensajes e
información (archivos) pueden estar infectados y, por
lo tanto, contagiar al equipo del usuario que participe en
ellos.
4.5.4.2 TIPOS DE VIRUS
Un virus puede causar daño lógico
(generalmente) o físico (bajo ciertas circunstancias y por
repetición) de la computadora infectada y nadie en su sano
juicio deseará ejecutarlo.
Para evitar la intervención del usuario los
creadores de virus debieron inventar técnicas de las
cuales valerse para que su "programa" pudiera ejecutarse. Estas
son diversas y algunas de lo mas ingeniosas.
4.5.4.2.1 Archivos Ejecutable (virus
ExeVir)
El virus se adosa a un archivo ejecutable y
desvía el flujo de ejecución a su código,
para luego retomar al huésped y ejecutar las acciones
esperadas por el usuario. Al realizarse esta acción el
usuario no se percata de lo sucedido. Una vez que el virus es
ejecutado se aloja en memoria y puede infectar otros archivos
ejecutables que sean abiertos en esa máquina.
En este momento su dispersión se realiza en
sistema de 16 bits (DOS) y de 32 bits (Windows) indistintamente,
atacando programas .COM, .EXE, .DLL, .SVS, .PIF, etc,
según el sistema infectado.
Ejemplos: Chemovil, Darth Vader, PHX
Gráfico 4.5 -Técnicas de
Infección en Archivos Ejecutables
4.5.4.2.2 Virus en el Sector de Arranque (Virus ACSO
Anterior a la Carga del SO)
En los primeros 512 bytes de un disquete formateado se
encuentran las rutinas necesarias para la carga y reconocimiento
de dicho disquete. Entre ellas se encuentra la función
invocada si no se encuentra el Sistema Operativo. Es decir que
estos 512 bytes se ejecutan cada vez que se intenta arrancar
(bootear) desde un disquete (o si se dejó olvidado uno en
la unidad y el orden de booteo de la PC es A: y luego C:). Luego,
esta área es el objetivo de un virus de booteo.
Se guarda la zona de booteo original en otro sector del
disco (generalmente uno muy cercano o los más altos ).
Luego el virus carga la antigua zona de booteo. Al arrancar el
disquete se ejecuta el virus (que obligatoriamente debe tener 512
bytes o menos) quedando residente en memoria; luego ejecuta la
zona de booteo original, salvada anteriormente. Una vez
más el usuario no se percata de lo sucedido ya que la zona
de booteo se ejecuta iniciando el sistema operativo (si
existiera) o informando la falta del mismo.
Ejemplo: 512, Stoned, Michelangelo, Diablo.
4.5.4.2.3 Virus Residente
Como ya se mencionó, un virus puede residir en
memoria. El objetivo de esta acción es controlar los
accesos a disco realizados por el usuario y el Sistema Operativo.
Cada vez que se produce un acceso, el virus verifica si el disco
o archivo objetivo al que se accede, está infectado y si
no lo está procede a almacenar su propio código en
el mismo. Este código se almacenará en un archivo,
tabla de partición, o en el sector de booteo, dependiendo
del tipo de virus que se trate.
Ejemplos: 512, Avispa, Michelangelo, DIR II.
4.5.4.2.4 Macrovirus
Estos virus infectan archivos de información
generados por aplicaciones de oficina que cuentan con lenguajes
de programación de macros. Últimamente son los
más expandidos ya que todos los usuarios necesitan hacer
intercambio de documentos para realizar su trabajo. Los primeros
antecedentes de ellos fueron con las macros de Lotus 123®)
que ya eran lo suficientemente poderosas como permitir este tipo
de implementación. Pero los primeros de difusión
masiva fueron desarrollados a principios de los '90 para el
procesador de texto Microsoft WORD®), ya que este cuenta con
el lenguaje de programación Word Basic®).
Su principal punto fuerte fue que terminaron con un
paradigma de la seguridad informática: "los únicos
archivos que pueden infectarse son los ejecutables" y todas las
tecnologías antivirus sucumbieron ante este nuevo
ataque.
Su funcionamiento consiste en que si una
aplicación abre un archivo infectado, la aplicación
(o parte de ella) se infecta y cada vez que se genera un nuevo
archivo o se modifique uno existente contendrá el
macrovirus.
Ejemplos:
De Microsoft Word: CAP I, CAP n, Concept,
Wazzu.
De Microsoft Excel: Laroux.
De Lotus Amipro: GreenStripe
4.5.4.2.5 Virus de Mail
El "último grito de la tecnología" en
cuestión de virus. Su modo de actuar, al igual que los
anteriores, se basa en la confianza excesiva por parte del
usuario: a este le llega vía mail un mensaje con un
archivo comprimido (.ZIP por ejemplo), el usuario lo descomprime
y al
terminar esta acción, el contenido (virus
ejecutable) del archivo se ejecuta y comienza el
daño.
Este tipo de virus tomó relevancia estos
últimos años con al explosión masiva de
Internet y últimamente con el virus Melissa y I Love You.
Generalmente estos virus se auto envían a algunas de las
direcciones de la libreta. Cada vez que uno de estos usuarios
recibe el supuesto mensaje no sospecha y lo abre, ocurriendo el
mismo reenvío y la posterior saturación de los
servidores al existir millones de mensajes enviados.
4.5.4.2.6 Virus de Sabotaje
Son virus construidos para sabotear un sistema o entorno
específico. Requieren de conocimientos de
programación pero también una acción de
inteligencia que provea información sobre el objetivo y
sus sistemas.
4.5.4.2.7 Hoax, los Virus Fantasmas
El auge del correo electrónico generó la
posibilidad de transmitir mensajes de alerta de seguridad.
Así comenzaron a circular mensajes de distinta
índole (virus, cadenas solidarias, beneficios,
catástrofes, etc.) de casos inexistentes. Los objetivo de
estas alertas pueden causar alarma, la pérdida de tiempo,
el robo de direcciones de correo y la saturación de los
servidores con las consecuentes pérdidas de dinero que
esto ocasiona.
4.5.4.2.8 Virus de Applets lava y Controles
ActiveX
Si bien, como ya se comentó, estas dos
tecnologías han sido desarrolladas teniendo como meta
principal la seguridad, la práctica demuestra que es
posible programar virus sobre ellas. Este tipo de virus se copian
y se ejecutan a sí mismos mientras el usuario mantiene una
conexión a Internet.
4.5.4.2.9 Reproductores-Gusanos
Son programas que se reproducen constantemente hasta
agotar totalmente los recursos del sistema huésped y/o
recopilar información relevante para enviarla a un equipo
al cual su creador tiene acceso.
4.5.4.2.10 Caballos de Troya
De la misma forma que el antiguo caballo de Troya de la
mitología griega escondía en su interior algo que
los troyanos desconocía, y que tenía una
función muy diferente a la que ellos podían
imaginar; un Caballo de Troya es un programa que aparentemente
realiza una función útil pero además realiza
una operación que el usuario desconoce y que generalmente
beneficia al autor del troyano o daña el sistema
huésped.
Si bien este tipo de programas NO cumplen con las
condiciones de autorreproducción de los virus, encuadran
perfectamente en la características de programa
dañino.
Consisten en introducir dentro de un programa una rutina
o conjunto de instrucciones, no autorizadas y que la persona que
la e.jecuta no conoce, para que dicho programa actúe de
una forma diferente a como estaba previsto.
Los ejemplos más conocidos de troyanos son el
back Oriffice y el Net Bus que, si bien no fueron desarrollados
con ese fin, son una poderosa arma para tomar el control de la
computadora infectada. Estos programas pueden ser utilizados para
la administración total del sistema atacado por parte de
un tercero, con los mismos permisos y restricciones que el
usuario de la misma.
4.5.4.2.11 Bombas Lógicas
Este suele ser el procedimiento de sabotaje mas
comúnmente utilizado por empleados descontentos. Consiste
en introducir un programa o rutina que en una fecha determinada o
dado algún evento particular en el sistema, bien destruye
y modifica la información o provoca la baja del
sistema.
4.5.4.3 MODELO DE VIRUS INFORMATICO
Un virus está compuesto por su propio entorno,
dentro del cual pueden distinguirse tres módulos
principales:
1. Módulo de Reproducción: es el
encargado de manejar las rutinas de parasitación de
entidades ejecutables con el fin de que el virus pueda
ejecutarse subrepticiamente, permitiendo su transferencia a
otras computadoras.2. Módulo de Ataque: Es el que maneja
las rutinas de daño adicional al virus. Esta rutina
puede existir o no y generalmente se activa cuando el sistema
cumple alguna condición. Por ejemplo el virus
Chernovil se activa cada vez que el reloj del sistema alcanza
el 26 de cada mes.3. Módulo de Defensa: Este
módulo, también optativo, tiene la
misión de proteger al virus. Sus rutinas tienden a
evitar acciones que faciliten o provoquen la detección
o remoción del virus.
4.5.5 TIPOS DE DAÑOS OCASIONADOS POR LOS
VIRUS
Los virus informáticos no afectan (en su gran
mayoría) directamente el hardware sino a través de
los programas que lo controlan; en ocasiones no contienen
código nocivo, o bien, únicamente causan
daño al reproducirse y utilizar recursos escasos como el
espacio en el disco rígido, tiempo de procesamiento,
memoria, etc. En general los daños que pueden causar los
virus se refieren a hacer que el sistema se detenga, borrado de
archivos, comportamiento erróneo de la pantalla,
despliegue de mensajes, desorden en los datos del disco, aumento
del tamaño de los archivos ejecutables o reducción
de la memoria total.
Para realizar la siguiente clasificación se ha
tenido en cuenta que el daño es una acción de la
computadora, no deseada por el usuario:
1. Daño Implícito: es el conjunto
de todas las acciones dañinas para el sistema que el
virus realiza para asegurar su accionar y propagación.
Aquí se debe considerar el entorno en el que se
desenvuelve el virus ya que el consumo de ciclos de reloj en
un medio delicado (como un aparato biomédico) puede
causar un gran daño.2. Daño Explicito: es el que produce la
rutina de daño del virus.
Con respecto al modo y cantidad de daño del
virus.
a. Daños triviales: daños que no
ocasionan ninguna pérdida grave de funcionalidad del
sistema y que originan una pequeña molestia al
usuario. Deshacerse del virus implica, generalmente, muy poco
tiempo.b. Daños menores: daños que
ocasionan una pérdida de la funcionalidad de las
aplicaciones que poseemos. En el peor de los casos se
tendrá que reinstalar las aplicaciones
afectadas.c. Daños moderados: los daños que
el virus provoca son formatear el disco rígido o
sobrescribir parte del mismo. Para solucionar esto se
deberá utilizar la última copia de seguridad
que se ha hecho y reinstalar el sistema operativo.d. Daños mayores: algunos virus pueden,
dada su alta velocidad de infección y su alta
capacidad de pasar desapercibidos, lograr que el dia que se
detecta su presencia tenerlas copias de seguridad
también infectadas. Puede que se llegue a encontrar
una copia de seguridad no infectada, pero será tan
antigua que se haya perdido una gran cantidad de archivos que
fueron creados con posterioridad.e. Daños severos: los danos severos son
hechos cuando un virus realiza cambios mínimos,
graduales y progresivos. No se sabe cuando los datos son
correctos o han cambiado, pues no hay unos indicios claros de
cuando se ha infectado el sistema.f. Daños ilimitados: el virus "abre
puertas" del sistema a personas no autorizadas. El
daño no 10 ocasiona el virus, sino esa tercera persona
que, gracias a él, puede entrar en el
sistema.
4.5.6 LOS AUTORES
Tras su alias (nic), los creadores de virus sostienen
que persiguen un fin educacional para ilustrar las flaquezas de
los sistemas a los que atacan. Pero… ¿es necesario crear
un problema para mostrar otro?
La creación de virus no es ilegal, y
probablemente no debería serlo: cualquiera es dueño
de crear un virus siempre y cuando lo guarde para si. Infectar a
otras computadoras sin el consentimiento de sus usarios es
inaceptable, esto si es un delito y deberia ser penado, como ya
lo es un algunos países.
Inglaterra pudo condenar a 18 meses de prisión al
autor de SMEG. Sin embargo, el autor del virus Loverletter no fue
sentenciado porque la legislación vigente en Filipinas (su
país de origen) no era adecuada en el momento del
arresto.
Existen otros casos en que el creador es recompensado
con una ofrçerta de trabajo millonaria por parte de
multinacionales. Este, y no las condenas, es el mensaje que
reciben miles de jóvenes para empezar o continuar
desarrollando virus y esto se transforma en una "actividad de
moda", lejos de la informática ética sobre la cual
deberían ser educados.
4.5.7 PROGRAMA ANTIVIRUS
Un antivirus es una gran base de datos con la huella
digital de todos los virus conocidos para identificarlos y
también con las pautas que más contienen los virus.
Los fabricantes de antivirus avanzan tecnológicamente casi
en la misma medida que lo hacen los creadores de virus. Esto
sirve para combatirlos, aunque no para prevenir la
creación e infección de otros nuevos.
Actualmente existen técnicas, conocidas como
heurísticas, que brindan una forma de "adelantarse.' a los
nuevos virus. Con esta técnica el antivirus es capaz de
analizar archivos y documentos y detectar actividades
sospechosas. Esta posibilidad puede ser explotada gracias a que
de los 6-20 nuevos virus diarios, sólo aparecen unos cinco
totalmente novedosos al año.
Debe tenerse en cuenta que;
Un programa antivirus forma parte del sistema y por
lo tanto funcionará correctamente si es adecuado y
está bien configurado.No será eficaz en el 100% de los casos. no
existe la protección total y definitiva.
Las funciones presentes en un antivirus son:
1. Detección: se debe poder afirmar la
presencia y/o accionar de un VI en una computadora.
Adicionalmente puede brindar módulos de
identificación, erradicación del virus o
eliminación de la entidad infectada.2. Identificación de un virus: existen
diversas técnicas para realizar esta
acción:
a. Scanning: técnica que consiste en
revisar el código de los archivos (fundamentalmente
archivos ejecutables y de documentos) en busca de
pequeñas porciones de código que pueden
pertenecer a un virus (sus huellas digitales ). Estas
porciones están almacenadas en una base de datos del
antivirus. Su principal ventaja reside en !a rápida y
exacta. Que resulta. La identificación del virus. En
los primeros tiempos (cuando los virus no eran tantos ni su
dispersión era tan rápida), esta técnica
fue eficaz, luego se comenzaron a notar sus deficiencias. El
primer punto desfavorable es que brinda una solución a
a y es necesario que el virus alcance un grado de
dispersión considerable para que llegue a mano de los
investigadores y estos lo incorporen a su base de datos.
(este proceso puede demorar desde uno a tres meses). Este
modelo reactivo jamás constituirá una
solución definitiva.b. Heurtstica: búsqueda de acciones
potencialmente dañinas perteneciente a un virus
informático. Esta técnica no identifica de
manera certera el virus, sino que rastrea rutinas de
alteración de información y zonas generalmente
no controlada por el usuario (MBR, Boot Sector, FAT, y
otras). Su principal ventaja reside en que es capaz de
detectar virus que no han sido agregados a las base de datos
de los antivirus (técnica proactiva). Su desventaja
radicl1 en que puede "sospechar" de demasiadas cosas y el
usuario debe ser medianamente capaz de identificar falsas
alarmas.
3. Chequeadores de Integridad; Consiste en
monitorear las actividades de la PC señalando si
algún proceso intenta modificar sectores
críticos de la misma. Su ventaja reside en la
prevención aunque muchas veces pueden ser vulnerados
por los virus y ser desactivados por ellos, haciendo que el
usuario se crea protegido, no siendo así.
Es importante diferencia los términos detectar:
determinación de la presencia de un virus e identificar:
determinación de qué virus fue el detectado. Lo
importante es la detección del virus y luego, si es
posible, su identificación y
erradicación.
4.5.7.1 MODELO DE UN ANTIVIRUS
Un antivirus puede estar constituido por dos
módulos principales y cada uno de ellos contener otros
módulos.
Gráfico 4.9 -Modelo de un
Antivirus
Módulo de Control: Este módulo posee
la técnica de Verificación de Integridad que
posibilita el registro de posibles cambios en los zonas y
archivos considerados de riesgo.Módulo de Respuesta: La función de
"Alarma" se encuentra en todos los antivirus y consiste en
detener la ejecución de todos lo programas e informar
al usuario de la posible existencia de un virus. La
mayoría ofrecen la posibilidad de su
erradicación si la identificación a sido
positiva.
4.5.7.2 UTILIZACIÓN DE LOS
ANTIVIRUS
Como ya se ha descrito un VI es un programa y, como tal
se ejecuta, ocupa un espacio en memoria y realiza las tareas para
las que ha sido programado. En el caso de instalarse un antivirus
en una computadora infectada, es probable que este también
sea infectado y su funcionamiento deje de ser confiable. Por lo
tanto si se sospecha de la infección de una computadora,
nunca deben realizarse operaciones de instalación o
desinfección desde la misma. El procedimiento adecuado
sería reiniciar el sistema y proceder a la limpieza desde
un sistema limpio y seguro.
La mayoría de los antivirus ofrecen la
opción de reparación de los archivos
dañados.
Puede considerarse este procedimiento o la de recuperar
el/los archivos perdidos desde una copia de seguridad
segura.
CAPITULO 5
Políticas de
Seguridad
Hoy es imposible hablar de un sistema cien por cien
seguro, sencillamente porque el Costo de la seguridad total es
muy alto. Por eso las empresas, en general, asumen
riesgos:
deben optar entre perder un negocio o arriesgarse a ser
hackeadas.
La cuestión es que , en algunas organizaciones
puntuales, tener un sistema de seguridad muy acotado les
impediría hacer más negocios. "Si un Hacker quiere
gastar cien mil dólares en equipos para descifrar una
encriptación, lo puede hacer porque es imposible de
controlarlo y en tratar de evitarlo se podrían gastar
millones de dólares".
La solución a medias, entonces, sería
acotar todo el espectro de seguridad, en lo que hace a
plataformas, procedimientos y estrategias. De esta manera se
puede controlar todo un conjunto de vulnerabilidades.. aunque no
se logre la seguridad total y esto significa ni más ni
menos que un gran avance Con respecto a unos años
atrás.
Algunas organizaciones gubernamentales y no
gubernamentales internacionales han desarrollado documentos,
directrices y recomendaciones que orientan en el uso adecuado de
las nuevas tecnologías para obtener el mayor provecho y
evitar el uso indebido de la mismas, lo cual puede ocasionar
serios problemas en los bienes y servicios de las empresas en el
mundo.
En este sentido, las políticas de seguridad
informáticas (PSI), surgen como una herramienta
organizacional para concientizar a cada uno de los miembros de
una organización sobre la importancia y sensibilidad de la
información y servicios críticos. Estos permiten a
la compañía desarrollarse y mantenerse en su sector
de negocios.
5.1 POLÍTICAS DE SEGURIDAD
INFORMÁTICA
De acuerdo Con lo anterior, el proponer o identificar
una política de seguridad requiere un alto compromiso con
la organización, agudeza técnica para establecer
fallas y debilidades, y constancia para renovar y actualizar
dicha política en función del dinámico
ambiente que rodea las organizaciones modernas.
Está lejos de mi intención (y del alcance
del presente) proponer un documento estableciendo lo que debe
hacer un usuario o una organización para lograr la mayor
Seguridad Informática posible. Sí está
dentro de mis objetivos proponer loS lineamientos generales que
se deben seguir para lograr (si así se pretendiese) un
documento con estas características.
El presente es el resultado de la investigación,
pero sobre todo de mi experiencia viendo como muchos documentos
son ignorados por contener planes y políticas
difíciles de lograr, o peor aún, de
entender.
Esto adquiere mayor importancia aún cuando el
tema abordado por estas políticas es la Seguridad
Informática. Extensos manuales explicando como debe
protegerse una computadora o una red con un simple firewall, un
programa antivirus o un monitor de sucesos. Falacias altamente
remuneradas que ofrecen la mayor "Protección" = " Aceite
de Serpiente" del mundo.
He intentado dejar en claro que la Seguridad
Informática no tiene una solución definitiva
aquí y ahora, sino que es y será (a mi entender) el
resultado de la innovación tecnológica, a la par
del avance tecnológico, por parte de aquellos que son los
responsables de nuestros sistemas.
En palabras de Julio C. Ardita: "Una política de
seguridad funciona muy bien en EE.UU. pero cuando estos manuales
se trajeron a América Latina fue un fiasco… Armar una
política de procedimientos de seguridad en una empresa
está costando entre 150-350 mil
dólares y el resultado es ninguno… Es un manual
que llevado a la implementación nunca se realiza… Es muy
difícil armar algo global, por lo que siempre se trabaja
en un plan de seguridad real: las políticas y
procedimientos por un lado y la parte física por
otra."
Para continuar, hará falta definir algunos
conceptos aplicados en la definición de una
PSI:
Decisión: elección de un curso de
acción determinado entre varios posibles.Plan: conjunto de decisiones que definen cursos de
acción futuros y los medios para conseguirlos.
Consiste en diseñar un futuro deseado y la
búsqueda del modo de conseguirlo.Estrategia: conjunto de decisiones establecidas por
la dirección, que determinan criterios generales a
adoptar en distintas funciones y actividades donde se conocen
las alternativas ante circunstancias repetidas.Meta: objetivo cuantificado a valores
predeterminados.Procedimiento: Definición detallada de pasos
a ejecutar para desarrollar una actividad
determinada.Norma: forma en que realiza un procedimiento o
proceso.Programa: Secuencia de acciones interrelacionadas y
ordenadas en el tiempo que se utilizan para coordinar y
controlar operaciones.Proyección: predicción del
comportamiento futuro, basándose en el pasado sin el
agregado de apreciaciones subjetivas.Pronóstico: predicción del
comportamiento futuro, con el agregado de hechos concretos y
conocidos que se prevé influirán en los
acontecimientos futuros.Control: capacidad de ejercer o dirigir una
influencia sobre una situación dada o hecho. Es una
acción tomada para hacer un hecho conforme a un
plan.Riesgo: proximidad o posibilidad de un
daño, peligro. Cada uno de los imprevistos, hechos
desafortunados, etc., que puede tener un efecto
adverso.Sinónimos: amenaza,
contingencia, emergencia, urgencia, apuro.
Ahora, "una política de seguridad es un conjunto
de requisitos definidos por los responsables de un sistema, que
indica en términos generales que está y que no
está permitido en el área de seguridad durante la
operación general del sistema.
La RFC 1244 define Política de Seguridad como:
"una declaración de intenciones de alto nivel que cubre la
seguridad de los sistemas informáticos y que proporciona
las bases para definir y delimitar responsabilidades para las
diversas actuaciones técnicas y organizativas que se
requerirán."
La política se refleja en una serie de normas,
reglamentos y protocolos a seguir, donde se definen las medidas a
tomar para proteger la seguridad del sistema; pero… ante todo;
"(…) una política de seguridad es una forma de
comunicarse con los usuarios… Siempre hay que tener en cuenta
que la seguridad comienza y termina con personas."s y
debe:
Ser holística (cubrir todos los aspectos
relacionados con la misma). No tiene sentido proteger el
acceso con una puerta blindada si a esta no se la ha cerrado
con llave.Adecuada a las necesidades y recursos. No tiene
sentido adquirir una caja fuerte para proteger un
lápiz.Ser atemporal. El tiempo en el que se aplica no debe
influir en su eficacia y eficiencia.Definir estrategias y criterios generales a adoptar
en distintas funciones y actividades, donde se conocen las
alternativas ante circunstancias repetidas.
Cualquier política de seguridad ha de contemplar
los elementos claves de seguridad ya mencionados: la Integridad,
Disponibilidad, Privacidad y, adicionalmente, Control,
Autenticidad y Utilidad.
No debe tratarse de una descripción
técnica de mecanismos de seguridad, ni de una
expresión legal que involucre sanciones a conductas de los
empleados. Es más bien una descripción de los. que
deseamos proteger y el porque de ello.
5.2 EVALUACIÓN DE RIESGOS
El análisis de riesgos supone más que el
hecho de calcular la posibilidad de que ocurran cosas
negativas.
Se debe poder obtener una evaluación
económica del impacto de estos sucesos.Este valor se
podrá utilizar para contrastar el costo de la
protección de la información en
análisis, versus el costo de volverla a producir
(reproducir).Se debe tener en cuenta la probabilidad que sucedan
cada uno de los problemas posibles. De esta forma se pueden
priorizar los problemas y su coste potencial desarrollando un
plan de acción adecuado.Se debe conocer qué se quiere proteger ,
dónde y cómo, asegurando que con los costos en
los que se incurren se obtengan beneficios efectivos. Para
esto se deberá identificar los recursos (hardware,
software, información, personal, accesorios, etc.) con
que se cuenta y las amenazas a las que se esta
expuesto.
La evaluación de riesgos y presentación de
respuestas debe prepararse de forma personalizada para cada
organización; pero se puede presupone algunas preguntas
que ayudan en la identificación de lo anteriormente
expuesto.
a. ¿Qué puede ir mal?
b. ¿Con qué frecuencia puede
ocurrir?c. ¿Cuáles son las
consecuencias?d. ¿Qué fiabilidad tienen las
respuestas a las tres primeras preguntas?"e. ¿Se está preparado para abrir
las puertas del negocio sin sistemas, por un día, una
semana, cuanto tiempo?"f. ¿Cuál es el costo de una hora
sin procesar, un día, una semana… ?"g. ¿Se tiene control sobre las
operaciones de los distintos sistemas?"h. ¿Cuantas personas dentro de la
empresa, (sin considerar su honestidad), están en
condiciones de inhibir el procesamiento de datos?"i. ¿A que se llama información
confidencial y/o sensitiva?"j. ¿La seguridad actual cubre los tipos
de ataques existentes y está preparada para adecuarse
a los avances tecnológicos?k. ¿A quien se le permite usar que
recurso?"l. ¿Quién es el propietario del
recurso? y ¿quién es el usuario con mayores
privilegios sobre ese recurso?"m. ¿Cuáles serán los
privilegios y responsabilidades del Administrador vs. la del
usuario?"n. ¿Cómo se actuará si la
seguridad es violada?"
Una vez obtenida la lista de cada uno de los riesgos se
efectuará un resumen del tipo:
Tipo de riesgo | Factor |
Robo de hardware | Alto |
Robo de Información | Alto |
Vandalismo | Medio |
Fallas de equipos | Medio |
Virus informáticos | Medio |
Equivocaciones | Medio |
Accesos no autorizados | Medio |
Fraude | Bajo |
Fuego | Muy Bajo |
Terremotos | Muy Bajo |
Tabla 5.1 -Tipo de
Riesgo-Factor
Según la tabla habrá que tomar las medidas
pertinentes de seguridad Para cada caso en particular, cuidando
incurrir en los costos necesarios según el factor de
riesgo representado.
5.2.1 EVALUACIÓN DE COSTOS
Desde un punto de vista oficial. el desafío de
responder la pregunta del valor de la información ha sido
siempre difícil. y más difícil aún
hacer estos costos justificables, siguiendo el principio que "si
desea justificarlo, debe darle un valor".
Establecer el valor de los datos es algo totalmente
relativo, pues la información constituye un recurso que,
en muchos casos, no se valora adecuadamente debido a su
intangibilidad, cosa que no ocurre Con loS equipos, la
documentación o las aplicaciones.
Además, las medidas de seguridad no influyen en
la productividad del sistema por lo que las organizaciones son
reticentes a dedicar recursos a esta tarea. Por eso es importante
entender que los esfuerzos invertidos en la seguridad son
costeables.
La evaluación de Costos más ampliamente
aceptada consiste en cuantificar los daños que cada
posible vulnerabilidad puede causar teniendo en cuenta las
posibilidades. Un planteamiento posible para desarrollar esta
política es el análisis de lo siguiente:
¿Qué recursos se quieren
proteger?¿De que personas necesita
proteger los recursos?¿Qué tan reales son las
amenazas?¿Qué tan importante es ei
recurso'?¿Qué medidas se pueden
implantar para proteger sus bienes de una manera
económica y oportuna?Con esas sencillas preguntas (mas la
evaluación de riesgo) se deberia conocer cuales
recursos vale la pena (y justifican su costo) proteger, y
entender que algunos son más importantes que
otros.
El objetivo que se persigue es lograr que un ataque a
los bienes sea más costoso que su valor invirtiendo menos
de lo que vale. Para esto se define tres costos
fundamentales:
CP: Valor de los bienes y recursos
protegidos.
CR: Costo de los medios necesarios para romper las
medidas de seguridad establecidas.
CS: Costo de las medidas de seguridad.
Para que la política de seguridad sea
lógica y consistente se debe cumplir que:
CR > CP: o sea que un ataque para obtener los bienes
debe ser más Costosos que el valor de los mismos. Los
beneficios obtenidos de romper las medidas de seguridad no deben
compensar el costo de desarrollo del ataque.
CP >CS: O sea que el costo de los bienes protegidos
debe ser mayor que el costo de la protección.
Luego, CR > CP > CS y io que se busca
es:
Minimnizar el costo de la protección
manteniéndolo por debajo del de los bienes protegidos". Si
proteger los bienes es más caro de lo que valen (el
lápiz dentro de la caja fuerte), entonces resulta
más conveniente obtenerlos de nuevo en vez de
protegerlo.
"Maximizar el costo de íos ataques
manteniéndolo por encima del de los bienes protegidos'. Si
atacar el bien es más caro de lo que valen, al atacante le
conviene más obtenerlo de otra forma menos
costosa.
Se debe tratar de valorar los costos en que se puede
incurrir en el peor de los casos contrastando con el costo de las
medidas de seguridad adoptadas. Se debe poner especial
énfasis en esta etapa para no incurrir en el error de no
considerar costos, muchas veces, ocultos y no obvios (costos
derivados).
5.1.3.2 COSTOS DERIVADOS DE LA PERDIDA
Una vez más deben abarcarse todas las
posibilidades, intentando descubrir todos los valores derivados
de la pérdida de algún componente del sistema.
Muchas veces se trata del valor añadido que gana un
atacante y la repercusión de esa ganancia para el entorno,
además del costo del elemento perdido. Deben considerarse
elementos como:
Información aparentemente inocua como datos
personales, que pueden permitir a alguien suplantar
identidades.Datos confidenciales de acuerdos y contratos que un
atacante podría usar para su beneficio.Tiempos necesarios para obtener ciertos bienes. Un
atacante podría acceder a ellos para ahorrarse el
costo (y tiempo) necesario para su desarrollo.
5.3 ESTRATEGIA DE SEGURIDAD
Para establecer una estrategia adecuada es conveniente
pensar una política de protección en loS distintos
niveles que esta debe abarcar y que no son ni mas ni menos que
los estudiados hasta aquí: Física, Lógica,
Humana y la interacción que existe entre estos
factores.
En cada caso considerado, el plan de seguridad debe
incluir una estrategia Proactiva y otra Reactiva.
La Estrategia Proactiva (proteger y proceder) o de
previsión de ataques es un conjunto de pasos que ayuda a
reducir al mínimo la cantidad de puntos vulnerables
existentes en las directivas de seguridad ya desarrollar planes
de contingencia. La determinación del dado que un ataque
va a provocar en un sistema y las debilidades y puntos
vulnerables explotados durante este ataque ayudará a
desarrollar esta estrategia.
La estrategia reactiva (Perseguir y procesar) o
estrategia posterior al ataque ayuda al personal de seguridad a
evaluar el daño que ha causado el ataque, a repararlo o a
implementar el plan de contingencia desarrollado en la estrategia
Proactiva, a documentar y aprender de la experiencia, ya
conseguir que las funciones comerciales se normalicen lo antes
posible.
Con respecto a la postura que puede adoptarse ante los
recursos compartidos:
Lo que no se permite expresamente está
prohibido: significa que la organización proporciona
una serie de servicios bien determinados y documentados, y
cualquier otra cosa está prohibida.
Lo que no se prohíbe expresamente está
permitido: significa que, a menos que se indique expresamente
que cierto servicio no está disponible, todos los
demás sí lo estarán.
Página anterior | Volver al principio del trabajo | Página siguiente |