Documente Academic
Documente Profesional
Documente Cultură
Panorama general
Introducción
Como resultado de la creciente conectividad, los sistemas de información y las redes, son
más vulnerables. Ya que están expuestos a un número creciente (y de gran variedad) de
amenazas.
Esto hace que surjan nuevos retos que deben abordarse en el tema de seguridad.
Objetivo
En este capítulo
Amenazas
Amenazas
Acciones de Documento
Introducción
Las redes de datos son atacadas principalmente por personas, quienes intencionalmente
o no, pueden afectar a los elementos o recursos interconectados. Sin embargo, no se
puede descartar a aquellas amenazas lógicas que fueron creadas para dañar (software
malicioso o malware) o incluso fallas en la programación de las aplicaciones (bugs o
agujeros), que aún no siendo su fin, pueden ocasionar daños o perdidas.
Las amenazas no se originan desde una sola fuente, pueden provenir de una persona (o
varias), de una falla de programación o configuración, e incluso de una catástrofe natural,
basándose en esto podemos definir tres grupos:
Personas
Amenazas Lógicas
Catástrofes
Personas
Tabla 2.2
Ejemplo Descripción
Rara vez son tomadas en cuenta las amenazas
provenientes del personal de la propia organización, por lo
que se puede pasar por alto el hecho de que casi cualquier
persona de la organización puede comprometer la
Empleados
seguridad de los equipos.
Aunque los ataques pueden ser intencionados, lo normal
es que se trate de accidentes causados por un error o por
desconocimiento de las políticas de seguridad
Estos términos se aplican a los entusiastas del estudio de
las computadoras que sienten placer en conseguir acceso
a las computadoras o las redes.
Hackers y
Otros designados a menudo como "crackers" son más
Crackers
maliciosos, pudiendo tomar el control de un sistema, robar
o dañar datos confidenciales, desconfigurar las páginas
Web, e incluso interrumpir el servicio.
Ejemplo Descripción
Este es el grupo de atacantes más peligroso, teniendo
como principal blanco a las grandes empresas o a
organismos de defensa.
Son piratas con gran experiencia en asuntos de seguridad
Intrusos
así como un amplio conocimiento de la red y los sistemas,
Remunerados
son pagados por una tercera parte (la competencia o un
organismo de inteligencia), generalmente para robar
secretos o simplemente para dañar la imagen de la entidad
afectada.
Amenazas Lógicas
Bajo la etiqueta de amenaza lógica, se encuentran todo tipo de programas que de una
forma u otra pueden dañar a nuestro sistema, creados de forma intencionada para ello
(malware) o simplemente por error (bugs o agujeros)
Ejemplo Descripción
Las amenazas más habituales a un sistema provienen de
errores cometidos de forma involuntaria por los
Software programadores de sistemas. A estos errores de
Incorrecto programación se les denomina bugs, y a los programas
utilizados para aprovechar estos fallos y atacar al sistema,
exploits.
Cualquier herramienta de seguridad representa un arma de
doble filo. Ya que de la misma forma que un administrador
Herramientas las utiliza para detectar y solucionar fallos en sus sistemas
de Seguridad o en la subred completa; un potencial intruso las puede
utilizar para detectar esos mismos fallos y aprovecharlos
para atacar los equipos.
Durante el desarrollo de grandes aplicaciones o de
sistemas operativos es habitual entre los programadores
insertar 'atajos' en los sistemas de autenticación del
programa.
Puertas Algunos programadores pueden dejar estos atajos en las
Traseras versiones definitivas de su software para facilitar un
mantenimiento posterior, para garantizar su propio acceso,
o simplemente por descuido. Sí un atacante descubre una
de estas puertas traseras, va a tener acceso a datos que
no debería poder leer.
Los canales cubiertos son canales de comunicación que
permiten a un proceso transferir información de forma que
Canales viole la política de seguridad del sistema; dicho de otra
Cubiertos forma, un proceso transmite información a otros (locales o
remotos) que no están autorizados a leer dicha
información.
Ejemplo Descripción
Un virus es una secuencia de código que se inserta en un
archivo ejecutable (denominado huésped), de forma que
cuando el archivo se ejecuta, el virus también lo hace,
Virus
insertándose así mismo en otros programas.
Cuando una computadora en la red ha sido infectada, es
muy probable que las otras computadoras se infecten.
Un gusano es un programa capaz de ejecutarse y
propagarse por sí mismo a través de la red, en ocasiones
portando virus o aprovechando bugs de los sistemas a los
que se conecta para dañarlos.
Gusanos
En un ataque a la red, mientras que una persona puede
tardar como mínimo horas en tomar el control (tiempo
razonable para detectarlo), un gusano puede hacer eso
mismo en pocos minutos.
Los troyanos o caballos de Troya son instrucciones
escondidas en un programa, de forma que éste parezca
Caballos de
realizar las tareas que un usuario espera de él, pero que
Troya
realmente ejecute funciones ocultas (generalmente en
detrimento de la seguridad) sin el conocimiento del usuario.
Catástrofes
Las catástrofes (naturales o artificiales) son las amenazas menos probables contra los
entornos habituales. Sin embargo, el hecho de que estas amenazas sean las menores, no
implica que contra ellas no se tomen unas medidas básicas, ya que si se produjeran,
generarían los mayores daños. Algunos ejemplos de amenazas por catástrofes, son:
Terremotos
Inundaciones
Incendios
Humo
Cortes eléctricos
Atentados de baja magnitud
Ataques
Ataques
Acciones de Documento
Introducción
En los primeros años, los ataques involucraban poca sofisticación técnica. Los ataques
internos se basaban en utilizar permisos para alterar la información. Los externos se
basaban en acceder a la red simplemente averiguando una clave válida.
A través de los años, se han desarrollado formas cada vez más sofisticadas de ataque,
para explotar vulnerabilidades en el diseño, configuración y operación de los sistemas.
Esto permitió a los nuevos atacantes tomar control de sistemas completos, produciendo
verdaderos desastres que en muchos casos llevaron a la desaparición de aquellas
organizaciones o empresas con altísimo grado de dependencia tecnológica (bancos,
servicios automáticos, etc.)
A continuación, se despliega una lista de ataques que por su importancia tienen una
mención en la literatura conocida.
Sin embargo, los ataques reales se combinan con ataques no conocidos, novedosos o en
muchos casos ocasionados por errores.
Reconocimiento
Reconocimiento
Acciones de Documento
Descripción
Después de esto, utiliza un explorador de puertos para determinar qué servicios o puertos
de red (TCP o UDP) están activos.
Con esta información, puede determinar si existe una vulnerabilidad que puede ser
explotada. Como se observa en la figura 2.2.
Figura 2.2 Reconocimiento
Eavesdropping
Eavesdropping
Acciones de Documento
Descripción
Acceso
Acceso
Acciones de Documento
Descripción
El ataque por acceso a los sistemas, es la capacidad para que un intruso desautorizado
acceda a un dispositivo para el cual no tiene una cuenta o una contraseña. Ver figura 2.4.
En la tabla 2.4 se describen algunos ejemplos de ataque por acceso por el método
utilizado y en la tabla 2.5 se describen algunos ejemplos específicos.
Tabla 2.4
Método Ejemplos
Pishing, caracterizado por intentar adquirir información
Ingeniería social
confidencial de forma fraudulenta.
Requiere que el atacante tenga acceso a los paquetes
Ataque "Hombre en que transitan en la red, por ejemplo, un trabajador del
el medio" (Man-in- Proveedor de Servicios de Internet (ISP)
the-middle attack) Hacen uso de analizadores de protocolos o equipos
sniffers.
Cuando varios servidores están en mismo segmento
de red, una vez que el intruso rompe la seguridad en
Aprovechando uno de ellos, puede comprometer la seguridad de los
relaciones de otros Cuando un servidor está en una zona
confianza entre desmilitarizada (DMZ) fuera del firewall, pero mantiene
servidores una relación de confianza con los servidores
protegidos, sí el intruso logra el control de este primer
servidor puede tener acceso a los otros.
Cuando el intruso puede capturar, manipular y replicar
Ataque por los datos enviados a través de un canal de
manipulación de comunicación Ejemplos de este método son el "graffiti"
datos y manipulación de los datos de una computadora
específica.
Método por el cual se falsifica la dirección IP fuente,
para que el servidor remoto la tome como válida
IP spoofing (IP
Normalmente el intruso se limita a inyectar datos o
falsificada)
comandos en una trama IP ya existente, enviada en
una conexión cliente servidor o una conexión punto a
Método Ejemplos
punto, sin esperar respuesta del destino
Para lograr una comunicación bidireccional el intruso
necesita conseguir acceso al servidor y cambiar las
tablas de enrutamiento para que lo enviado a la
dirección IP válida sea tomado por la dirección IP
falsa.
Son programas que automatizan el proceso entero.
Las computadoras son exploradas, se sondean y se
capturan secuencialmente.
Programas auto El proceso de la captura incluye la instalación de un
ejecutables rootkit en la computadora, el cual es utilizado para
(Autorooters o controlar el sistema y a través de él, automatizar el
BOTS) proceso de la intrusión a otros sistemas.
La automatización permite que un intruso explore
centenares de millares de sistemas en un corto
período de tiempo.
Acciones de Documento
Descripción
La negación del servicio (DoS) implica que un atacante inhabilite o corrompa las redes,
los sistemas o los servicios con la intención de negar la disponibilidad de los servicios a
los usuarios previstos.
A través de este ataque se intenta quebrantar los sistemas o hacerlos tan lentos al punto
de que sean inutilizables.
Consiste en enviar grandes cantidades de e-mails masivos, que saturan los servicios de
correo electrónico de los usuarios.
Programas maliciosos tales como virus o caballos de troya (siendo la mayoría programas
Java, JavaScrip o ActiveX), consumen los recursos de la PC, tales como memoria, CPU u
otros, con el fin de colapsarla y que no pueda ser utilizada.
El problema es que muchos sistemas operativos tienen un límite muy bajo en el número
de conexiones "semiabiertas". Este ataque suele combinarse con IP spoofing, como se
observa en la figura 2.6.
Descripción
Los ataques DoS distribuidos (DDoS) se diseñaron para saturar los enlaces de la red con
datos no deseados, provocando que el tráfico legítimo no pueda ser transmitido.
Los métodos de ataque de las aplicaciones DDoS son similares a los ataques DoS pero
funcionan en una mayor escala. Típicamente se procura abrumar a un solo blanco desde
centenares o millares de puntos de ataque.
Smurf
Se llama así debido al nombre de uno de los programas que se usan para realizar estos
ataques. Aquí, la maquina que origina el ataque (usando IP spoofing) envía un gran
número de pings hacia direcciones broadcast. Cada ping tiene como dirección origen la IP
del servidor a ser atacado.
Stacheldraht