Nuevas amenzas en la red. ¿Cómo mitigarlas?

Esta ves y para cerrar la semana les dejo con un artículo publicado por “Playmarketing”, una investigación muy interesante de Symantec para tener en cuenta, un buen fin de semana a tod@s.

Symantec anunció los hallazgos de su Reporte sobre Kits de Herramientas de Ataques y Sitios Web Maliciosos. El estudio revela que los kits o conjuntos de herramientas ataques se han vuelto más accesibles y relativamente más fáciles de usar, por lo que éstos se están empleando cada vez con mayor frecuencia. Esta situación también ha generado que criminales tradicionales, quienes de otra forma hubiesen carecido de los conocimientos técnicos, se incorporen al cibercrimen, fortaleciendo así a una economía global cada vez más organizada, rentable y auto-sustentable.

Los kits de herramientas para realizar ataques, mejor conocidos como “toolkits” por su nombre en inglés, son programas de software que pueden usarse tanto por novatos como por expertos para facilitar el lanzamiento y distribución de ataques a computadoras en red. Estos kits permiten que el atacante fácilmente lance numerosas amenazas pre-escritas hacia los sistemas computacionales y también ofrecen la capacidad de personalizar las amenazas para evitar la detección y de automatizar el proceso de ataque.

Antes los hackers tenían que crear sus propias amenazas desde cero. Este complejo proceso limitaba el número de atacantes a un grupo reducido de cibercriminales con grandes habilidades y altamente calificados. Hoy, los kits de ataques han hecho que lanzar un ciberataque sea relativamente fácil incluso para un novato malintencionado. Como resultado, esperamos ver más actividad criminal en esta área y probabilidades más altas de que el usuario promedio se convierta en una de sus víctimas, señaló Stephen Trilling, Vicepresidente Senior, Symantec Security Technology and Response.

Los Kits de Ataques Controlan el Entorno

La relativa facilidad y la efectividad de los kits de ataques ha contribuido a que éstos sean cada vez más utilizados por los ciberdelincuentes y ahora estos kits son usados en la mayoría de los ataques maliciosos en Internet. Por ejemplo, uno de los kits más populares, llamado Zeus, representa una amenaza seria para las pequeñas empresas pues el principal objetivo de Zeus es robar información de cuentas bancarias y, desafortunadamente, las pequeñas empresas suelen tener poca protección en sus transacciones financieras, lo que las vuelve el blanco principal para Zeus.

La rentabilidad de los ataques de código malicioso utilizando Zeus fue evidente en septiembre de 2010, cuando se arrestó un grupo de cibercriminales quienes alegaron usar un botnet Zeus para el robo de más de US$70 millones de dólares en transacciones bancarias en línea y cuentas de compra/venta a lo largo de 18 meses.

A medida que los ciberataques se han vuelto más rentables, los kits de ataques se hicieron cada vez más populares. Esto llevó a la creación de herramientas cada vez más robustas y sofisticadas que ahora se venden en un modelo de venta por suscripción que otorga actualizaciones periódicas, componentes que extienden capacidades y servicios de soporte. Los cibercriminales comúnmente anuncian servicios de instalación, ofrecen alquileres de acceso limitado a las consolas de herramientas y usan herramientas comerciales anti-piratería para prevenir que los atacantes las usen sin pagar.

Proliferación Rápida de Ataques

La velocidad a la cual las nuevas vulnerabilidades y sus exploits se propagan en el mundo ha incrementado debido a las innovaciones que los desarrolladores de kits de ataques han integrado a sus productos. Los kits de ataques son ahora fáciles de actualizar, lo cual permite a los desarrolladores agregar rápidamente códigos para explotar nuevas vulnerabilidades. Como resultado algunos exploits se encuentren disponibles sólo días después de que la vulnerabilidad asociada se hace pública. Los atacantes que pueden fácilmente actualizar sus kits de ataques con exploits recientes pueden dirigirlas hacia víctimas potenciales antes de que apliquen los parches de seguridad necesarios.

Dado que los kits de ataques se están volviendo más fáciles de usar, el cibercrimen ya no está limitado a quienes tienen habilidades avanzadas de programación. Sus participantes ahora se conforman de una variedad de individuos con habilidades informáticas y de otros con conocimiento en actividades criminales tradicionales como el lavado de dinero. Symantec espera que a medida que este último grupo, en creciente desarrollo y de mayor tamaño que el anterior, se incorpore a actividades en el ciberespacio, se observará un aumento en el número de ataques.

Datos Adicionales:

  • La popularidad y la demanda han incrementado el costo de los kits de ataques. En el año 2006, WebAttacker, una renombrada herramienta de ataques, se vendía por US$15 dólares en la economía clandestina. En 2010, Zeus 2.0 se anunciaba hasta por US$8,000 dólares.
  • Han surgido servicios secundarios para direccionar a los usuarios a sitios web maliciosos, donde la seguridad de sus computadoras podría comprometerse. Las tácticas usadas incluyen campañas de spam, optimización de buscadores mediante estrategias no éticas, la inyección de códigos en sitios legítimos, y anuncios publicitarios maliciosos.
  • Symantec observó más de 310,000 dominios únicos que resultaron ser maliciosos. En promedio, esto resultó en la detección de más de 4.4 millones de páginas Web maliciosas por mes.
  • De la actividad de amenazas basada en la Web que Symantec detectó durante el período del informe, el 61 por ciento se atribuyó a kits de ataques.
  • Los kits de ataques más predominantes son MPack, Neosploit, ZeuS, Nukesploit P4ck, y Phoenix.
  • Los términos de búsqueda que con mayor frecuencia dieron como resultado sitios maliciosos fueron sitios de entretenimiento para adultos, representando el 44 por ciento de los términos de búsqueda.

Mejores Prácticas para Mitigar Ataques:

  • Las organizaciones y los usuarios finales deben asegurarse de que todo su software esté actualizado con los parches de los fabricantes. Soluciones de administración de activos y parches pueden contribuir a asegurar que los sistemas cumplan con los requisitos e implementen parches en los sistemas que no estén actualizados.
  • Las organizaciones deben crear políticas para limitar el uso del software de búsqueda y de plug-ins de buscadores que no se requieren en la organización. Esto es más que nada una medida prudente para controladores ActiveX, que pueden instalarse sin que los usuarios se enteren.
  • Las organizaciones también pueden beneficiarse al usar soluciones de reputación de sitios web y listas negras de IPs para bloquear todo acceso saliente hacia sitios que alojan kits de ataques y amenazas asociadas.
  • Pueden implementarse sistemas antivirus y de prevención contra intrusos para detectar y prevenir la explotación e instalación de códigos maliciosos.

Más información sobre el reporte de Symantec y su Red Global de Inteligencia en: http://www.symantec.com/la/gin

Seguridad: ¿educar o restringir?

La idea de este blog es compartir criterios de seguridad de la información, y recibir colaboraciones de personas que deseen aportar con el desarrollo de este tema en Ecuador, en esta ocación les dejo un articulo tomado del “Newsletter de Seguridad de Microsft”.

 Seguridad: ¿educar o restringir?

 Cada organización tiene una cultura diferente y cada responsable de sistemas tiene su visión respecto a cómo incrementar los niveles de seguridad. En algunos casos encontramos políticas muy restrictivas del uso de ciertos servicios “públicos” y en otros, esfuerzos incansables por educar a los usuarios en las buenas prácticas de uso tanto del chat, como del correo electrónico o de la libre navegación por Internet. Claro, no sólo influye en la decisión la necesidad de proteger la información y las comunicaciones, sino que también se consideran criterios de productividad. A medida que avanza la integración de recursos informáticos propios de las empresas (in house o bien “on premise”) con servicios en la nube, ya sea pública o privada, se pone en jaque la disyuntiva que aquí planteamos. La respuesta sigue en manos de cada organización, según cuál sea el orden de prioridad de cada uno de los parámetros a evaluar. Mientras tanto, Microsoft sigue trabajando para hacer más seguros servicios como Hotmail y otros de Windows Live (como Skydrive o la integración de Office online), además de brindar más opciones de seguridad en Internet Explorer. En esta edición, mucha información para evaluar y comenzar el 2011, más conectados y a la vez, más protegidos. ¡Seguimos en contacto!

Eduardo Nuñez Parodi 

Gerente de Iniciativas de Seguridad de Microsoft Latinoamérica

100% Protegidos

Está por demás trillada la frase “En seguridad informática nada es 100% seguro”; entonces que es lo que debemos hacer para disminuir esa brecha e intentar acercarnos a un nivel aceptable de seguridad informática, sin que esto signifique degradar el performance (rendimiento)  de nuestros equipos o disminuir la calidad de un determinado servicio debido a la desmesurada implementación de medidas y contramedidas de seguridad que permitan asegurar nuestros activos de información.

Muchas veces nos centramos en asegurar todos nuestros activos de información y olvidamos asegurar lo más importante, el recurso humano y todo lo que ello involucra, cuantas veces la continuidad de una determinada actividad en una empresa se ha visto afectada porque el empleado X o Y “estrella” de la organización se enfermó y no acudió a su lugar de trabajo, que pasaría si el “empleado estrella”, decide de la noche a la mañana renunciar, ¿hemos evaluado el impacto que esto generaría a nuestros negocios?

La idea es asegurar lo verdadermente importante, pero sin llegar a exageraciones como se lo ilustra en las siguientes imágenes:

Un poco de humor reflexivo para refrescar la tarde 🙂

Una buena tarde y noche a todos.

Ecuador adoptará las normas ISO 27000.

Era jueves de la semana pasada, Quito era una ciudad con un tráfico infernalmente estresante y por si fuera poco una vez más no había calculado bien los tiempos, así que¡¡¡ … y pese al dolor de bolsillo que ese día me aquejaba no tuve otra opción que tomar un amarillo (taxi), para que me dirija directamente a mi lugar de trabajo ubicado en pleno centro de Quito.

Cuando un sonido extraño salió de mi chaqueta, había olvidado que ya tenía nuevamente celular, al contestar una voz femenina preguntaba mi ubicación en ese momento, sonó algo así “Hola Gabo.. ya llegas????” … Era mi Jefecita¡¡¡. “Llego en 5 minutos” exclamé, entonces me sugirió que no me diriga a la oficina sino que vaya directamente a las oficinas del INEN, así que¡¡¡…al nuevo destino se ha dicho¡¡¡. Para eso ya había preguntado de que se trataba la reunión, pensé que era una reunión no tan importante, lo confieso, pero debía asistir como delegado de mi Jefa que por X o Y razón no podía estar presente en aquella reunión.

Al llegar no había más de 5 personas en una reunión en donde se esperaban al menos 20 personas, entonces pensé que quizás se trataba de algo sin mayor trascendencia. La reunión se instauró con una formalidad que pocas veces he visto, parecía que en verdad era algo importante, se trataba nada más y nada menos del “5° Taller del Subcomité de TIC’s” el cual estaba encargado de revisar las normas que el país deberá adoptar en lo que a Tecnologías de Información y Comunicación se refiere. Y que pasó con la demás gente convocada acaso estos temas no son importantes para un desarrollo de las TIC’s en el país o es que sencillamente a los convocados no les interesa que Ecuador se desarrolle en este campo. Por suerte el comité fue instaurado.

El presidente del Subcomité anunciaba el orden del día y fue entonces que me preguntaba ¿Ecuador con normas ISO?…. Al fin¡¡¡ Ya era hora de tener en el país estos instrumentos que permitan emplear la tecnología alineada a normas internacionales y mucho mejor si son adoptadas por el país como una norma.

El tema a tratar era, coincidencialmente, las normas que Ecuador adoptará para el adecuado manejo de la Seguridad de la Información, las ISO 27000, las cual el MINTEL se encargó de traducirlas y fueron puestas a consideración de los miembros del Subcomité para su revisión y posterior aprobación por parte del Comité. De la misma manera se analizaron las normas que regirán la “Interoperabilidad” y lo que a “Formatos de archivos digitales” se refiere.

Que bien¡¡¡ Ecuador está por adoptar una serie de normas importantes que serán las que rigen y regulen el uso de las TIC’s en el Ecuador, una responsabilidad que se encuentra en un equipo de trabajo que tiene la tarea de escoger, revisar, discutir, corregir y aprobar normas y reglamentos acordes a nuestra realidad.

Por lo pronto es una realidad que en lo que se refiere a “Seguridad de la Información” la adopción de las normas ISO 27000, es un hecho, se espera sean aprobadas y publicadas en el registro oficial este año.

Cuál debería ser la hoja de ruta que se debería seguir para que estas normas sean aplicables a las empresas e instituciones, ahora el reto es socializarlas y verificar cuan útiles y aplicables a nuestra realidad pueden ser.

Sería bueno tener sus aportes queridos lectores.

Una buena tarde.

Simulación de ataque

SIMULACIÓN DE ATAQUES INFORMÁTICOS EN ENTORNOS VIRTUALES.

RESUMEN: El documento describe la metodología y técnica empleada para llevar a cabo ataques informáticos, un sniffer y un escáner de puertos son las herramientas que se han escogido para vulnerar los sistemas que se encuentran en entornos virtuales, el objetivo es obtener información confidencial e identificar que puertos se encuentra abiertos para llevar a cabo un ataque, la investigación consiste en entender cómo trabajan y piensan los hackers y crackers a la hora de vulnerar un sistema empleando herramientas y tecnologías que estos utilizan para entender su principio de funcionamiento, tomar las respectivas acciones, medidas de remediación y mitigación de los riesgos que se puedan encontrar. Existe una técnica utilizada por algunos consultores de seguridad informática denominada “hackeo ético” algunas de sus características y conceptos son utilizados en esta investigación.

PALABRAS CLAVE: Análisis de vulnerabilidades, hackeo ético, seguridad informática, simulación en entornos virtuales.

1 INTRODUCCIÓN

La investigación consiste en montar una red virtual, utilizando la plataforma VMware, con dos equipos, el primero con sistema operativo Windows XP (equipo víctima) el cual será atacado desde un segundo equipo una distribución de Linux denominada backtrack en su cuarta versión (equipo atacante) y que justamente es utilizada para consultorías de seguridad informática y contiene herramientas empleadas por los hackers para llevar a cabo sus ataques, cabe mencionar que todo la información contenida en este trabajo es únicamente para fines educativos y no debe ser empleada para llevar ataques reales.

El trabajo realizado también describe las medidas de seguridad y protección que se deben tener en cuenta si una amenaza o vulnerabilidad se hace presente, las acciones a llevar a cabo y que consideraciones se deben tener en cuenta para detectar, prevenir y mitigar las amenazas informáticas.

2 ENTORNOS VIRTUALES

2.1 VMWARE

VMware. VMware Inc., (VM de Virtual Machine) filial de EMC Corporation que proporciona la mayor parte del software de virtualización disponible para ordenadores compatibles X86. Entre este software se incluyen VMware Workstation, y los gratuitos VMware Server y VMware Player. El software de VMware puede funcionar en Windows, Linux, y en la plataforma Mac OS X que corre en procesadores INTEL, bajo el nombre de VMware Fusion. El nombre corporativo de la compañía es un juego de palabras usando la interpretación tradicional de las siglas «VM» en los ambientes de computación, como máquinas virtuales (Virtual Machines).

El equipo de investigación emplea VMWare por ser una plataforma de uso común en la industria, sobre esta plataforma se montan dos equipos virtuales de las siguientes características:

Equipo Víctima
• Microsoft Windows XP SP3 con actualizaciones y parches del Sistema Operativo (SO) al 14/06/2010.
• Antivirus instalado y actualizado.
• Memoria RAM 256 MB.
• Disco duro de 8Gb.
• Interfaz de red virtual.

Equipo Atacante
• Distribución Linux Backtrack v.4 Release final
• Memoria RAM 512 MB
• Disco duro de 8Gb
• Interfaz de red virtual
• Compendio de herramientas para hackeo ético.
• Nmap (Scanner de Puertos)
• Ettercap (Sniffer de red en modo promiscuo)

3 BACKTRACK

3.1 GENERALIDADES DE BACKTRACK

BackTrack es una distribución GNU/Linux en formato LiveCD pensada y diseñada para la auditoría de seguridad y relacionada con la seguridad informática en general. Actualmente tiene una gran popularidad y aceptación en la comunidad que se mueve en torno a la seguridad informática.

Se deriva de la unión de dos grandes distribuciones orientadas a la seguridad, el Auditor + WHAX. WHAX es la evolución del Whoppix (WhiteHat Knoppix), el cual pasó a basarse en la distribución Linux SLAX en lugar de Knoppix. La última versión de esta distribución cambió el sistema base, antes basado en Slax y ahora en Ubuntu.

Incluye una larga lista de herramientas de seguridad listas para usar, entre las que destacan numerosos escaners de puertos y vulnerabilidades, archivos de exploits, sniffers, herramientas de análisis forense y herramientas para la auditoría Wireless. Fue incluida en el puesto 32 de la famosa lista “Top 100 Network Security Tools” de 2006.

En la investigación se utiliza BackTrack como herramienta para llegar a cumplir con el objetivo, vulnerar y simular ataques informáticos, dicha herramienta es una de las más utilizadas en cuanto a análisis y auditorias de sistemas se refiere y es bueno que los futuros auditores se vayan familiarizando con este tipo de recursos para tenerla en cuenta cuando se lo requiera.

3.2 CONFIGURACIÓN DE BACKTRACK
Luego de haber instalado la máquina virtual con Backtrack v.4 se debe configurar la interfaz de red por defecto las interfaces de red vienen deshabilitadas para habilitar y configurar la interface de red.
Para configurar una dirección IP estática hay que ubicarse en el archivo /etc/network/interfaces e ingresar los siguientes parámetros de red:
auto eth0
iface eth0 inet static
address 192.168.0.100
netmask 255.255.255.0
network 192.168.0.0
broadcast 192.168.0.255
gateway 192.168.0.1

También es necesario configurar un nombre de Dominio (DNS) “nameserver” en el archivo /etc/resolv.conf:

vim /etc/resolv.conf
nameserver 192.168.0.1

Luego de configurar la red se debe activar e iniciar la interface de red ejecutando el comando:

/etc/init.d/networking start [restart/stop]

Se verifica con el comando “ipconfig” si la dirección IP asignada se ha configurado correctamente, y con el comando ping se verifica la conexión entre el equipo atacante y el equipo víctima.

4 CONFIGURACIÓN DEL EQUIPO VÍCTIMA

Consiste en un equipo virtual instalado con el sistema operativo Windows XP SP3 con todas las actualizaciones y parches a la fecha, este equipo también tiene instalado un sistema de Anti Virus con sus debidas actualizaciones a la fecha.

La configuración de la interface de red debe estar en el mismo rango de red en el que se encuentra el equipo atacante.

Lo que se intenta es validar que tan vulnerable puede ser o no un sistema incluso teniendo instalado y actualizado su sistema operativo y de antivirus.

5 HERRAMIENTAS PARA ATAQUES INFORMÁTICOS

Como ya se lo había mencionad con anterioridad Backtrack contiene una variedad de herramientas preinstaladas para llevar a cabo pruebas de intrusión, auditoria o análisis forenses, de ese compendio de herramientas en la investigación se utiliza las siguientes herramientas:

• Ettercap
• Nmap
• SSLStrip

5.1 ETTERCAP (SNIFFER)
Ettercap es un interceptor/sniffer/registrador para redes LAN. Soporta conexiones activas y pasivas de varios protocolos (incluso aquellos cifrados, como SSH y HTTPS). También hace posible la inyección de datos en una conexión establecida y filtrado en línea, aun manteniendo la conexión sincronizada gracias a su poder para establecer un Ataque Man-in-the-middle(Spoofing). Tiene muchos modos de sniffing implementados que brinda un conjunto de herramientas completas de sniffing.

Es compatible con SSH1: puede interceptar cuentas de usuario y contraseñas incluso en conexiones “seguras” con SSH.

Es compatible con HTTPS: intercepta conexiones mediante http SSL incluso si se establecen a través de un proxy.

Intercepta tráfico remoto mediante un túnel GRE: si la conexión se establece mediante un túnel GRE con un router Cisco, puede interceptarla y crear un ataque “Man in the Middle”.

Ettercap permitirá capturar el tráfico que circula entre el equipo víctima y la red, siendo el equipo atacante quien intercepte todo el tráfico permitiendo obtener acceso a información considerada confidencial.

5.2 CONFIGURACION ETTERCAP

Ettercap es empleado para capturar el tráfico entre la máquina víctima y el equipo atacante, utilizando envenenamiento de ARP, es posible capturar el tráfico HTTP y HTTP’s empleando esta herramienta.

Para capturar el tráfico HTTPS en el archivo /etc/etter.conf se debe descomentar las siguientes opciones:

redir_command_on = “ipchains -A input -i %iface -p tcp -s 0/0 -d 0/0 %port -j REDIRECT %rport”

redir_command_off = “ipchains -D input -i %iface -p tcp -s 0/0 -d 0/0 %port -j REDIRECT %rport”

redir_command_on = “iptables -t nat -A PREROUTING -i %iface -p tcp –dport %port -j REDIRECT –to-port %rport”

redir_command_off = “iptables -t nat -D PREROUTING -i %iface -p tcp –dport %port -j REDIRECT –to-port %rport”

Luego de que Ettercap se encuentra configurado, lo que queda es elegir el objetivo y proceder a realizar un ataque del tipo “hombre en el medio”.

Como evidencia se muestra el tráfico HTTP capturado en una conversación de chat establecida:

Se puede observar que filtra el tráfico de una conversación considerada privada, si el ataque fuese real, y la víctima en su conversación revelara sus claves de acceso, códigos de tarjetas de crédito o información personal considerada privada, el atacante sin mayor esfuerzo podría obtener esta información y utilizarla con fines delictivos.

5.3 NMAP

Es una herramienta que permite realizar identificación de equipos en una determinada red, con nmap se puede listar los equipos que se encuentran activos en una red, identificar que puertos se encuentran abiertos y disponibles de un determinado equipo para llevar a cabo un eventual ataque.

En la investigación con nmap se realiza un escaneo del equipo víctima, teniendo como resultado:

Con el comando “nmap [ip_victima]” se obtiene:

Interesting ports on 172.16.8.65:
Not shown: 994 closed ports

PORT STATE SERVICE
135/tcp open msrpc
139/tcp open netbios-ssn
445/tcp open microsoft-ds
912/tcp open unknown
2002/tcp open globe
3389/tcp open ms-term-serv

MAC Address: 00:23:7D:1A:84:18 (Hewlett Packard)
Nmap done: 1 IP address (1 host up) scanned in 14.37 seconds

Si se desea verificar que hosts se encuentran activos en una determinada red se utiliza el siguiente comando: nmap -sP 172.16.8.1-255

Starting Nmap 5.00 ( http://nmap.org ) at 2010-06-16 15:47 UTC
Host 172.16.8.1 is up (0.00041s latency).
MAC Address: 00:14:22:77:06:3F (Dell)
Host 172.16.8.2 is up (0.0025s latency).
MAC Address: 00:00:0C:07:AC:01 (Cisco Systems)
Host 172.16.8.3 is up (0.0012s latency).
MAC Address: 00:0C:29:D6:CB:4C (VMware)
Host 172.16.8.4 is up (0.0011s latency).
MAC Address: 00:0C:29:A2:FB:75 (VMware)

Se observa que, como resultado se obtiene la MAC Address, la marca de la tarjeta de red y las direcciones ip’s de los hosts que se encuentran activos.

Es posible también identificar el sistema operativo de cada equipo activo en la red, esta información a simple vista parece no ser relevante, pero las técnicas de hackeo hoy en día pueden valerse de este tipo de información para llevar a cabo los ataques.

Con la información Obtenida de NMAP se puede realizar envenenamiento de ARP, clonación de Mac Address, ingresar un troyano o un gusano por los puertos abiertos, si el Sistema Operativo no tiene los parches de seguridad más críticos se puede hacer uso de herramientas denominadas exploits para lograr un acceso al sistema (explotar una vulnerabilidad) permanente sin que la víctima se de cuenta de que está siendo atacada.

6 SSLStrip ATACANDO SSL

SSLStrio es una herramienta que automatiza el proceso de realizar un ataque “Hombre en el medio MintM” contra las peticiones SSL.

Lo primero a hacer es activar y configurar el redireccionamiento en iptables con el comando:

“echo “1” > /proc/sys/net/ipv4/ip_forward”

Luego se agrega una regla iptables que permita redirigir todo el tráfico del puerto 80 al puerto 10000 o al puerto que se desee redirigir el trafico, siempre y cuando se le indique a SSLStrip en que puerto debe escuchar: el comando es:

“slstrip –a –l 10000“

Donde –a permite registrar todo el tráfico HTTP y HTTPS y –l indica el puerto por donde se va a redirigir el tráfico.

Cuando se realiza estas acciones se puede observar en el equipo víctima con el comando arp –a que la MAC Address de la víctima ha sido duplicada.

Redirigiendo todo el tráfico al equipo atacante, y capturando el tráfico SSL, con este ataque se podría capturar contraseñas de acceso, numero de tarjetas de crédito y claves de acceso a correos personales en donde la mayoría de usuarios almacenan información personal y relevante, este ataque ha sido muy empleado en los últimos tiempos y preocupa ver que en muchas instituciones y empresas sobretodo en el Ecuador no se toman las debidas medidas de seguridad informática para mitigar estos riesgos.

7 PREVENCIÓN, DETECCIÓN Y MITIGACION DE RIESGOS

La tarea o la acción de hackear o vulnerar un sistema de manera relativa resulta fácil o al menos requiere de un menor esfuerzo, sobre todo por la información que circula en la red. Hoy en día es común encontrar herramientas gratuitas con su debida documentación para llevar a cabo un determinado ataque, es penoso decirlo pero la sociedad enfrenta una amenaza silenciosa que al menos en Ecuador aun no se le da la importancia que el tema debe tener. Las herramientas van desde exploits disponibles en internet para aprovecharse de vulnerabilidades de Sistemas Operativos por falta de actualizaciones hasta herramientas más completas y comerciales que garantizan acceder a un sistema, vulnerarlo, obtener información confidencial y sin dejar rastro algún, lo que confirma que el negocio de la cyber delincuencia está en pleno crecimiento.

Por tal razón se hace necesario tener profesionales con perfiles cada vez más completos para poder prevenir, detectar y mitigar estos riesgos y amenazas, el oficial o encargado de seguridad informática de las empresas deben estar más preparados e informados que los propios hacker resulta muy complicado de comprender pero estos profesionales deben desarrollar capacidades de hackers sin llegar a ser uno de ellos.

Varias asociaciones han sido formadas para colaborar en esta ardua tarea y se han llegado a desarrollar metodologías para poder mitigar estas amenazas y riesgos, el gobierno británico es una de ellas, la firma EC Council, ofrece ya desde hace algunos años la metodología y certificación CEH (Certified Ethical Hacker) que básicamente consiste en emplear las técnicas y herramientas que los crackers y hackers utilizan para poder vulnerar los sistemas, otras metodologías que se pueden emplear son OSSTM de ISECOM, IAM/IEM del gobierno de los Estados Unidos auspiciadas por el FBI.

7.1 PREVINIENDO ARP POISING

Existen algunos métodos para solucionar y evitar el envenenamiento de ARP en las redes LAN, se puede implementar:

RUTAS ARP ESTÁTICAS

Dentro de una red local, se debe mantener rutas estáticas, es decir añadir entradas estáticas ARP, de forma que no exista caché dinámica, cada entrada de la tabla mapea una dirección MAC con su correspondiente dirección IP. Sin embargo, esta no es una solución práctica, sobre todo en redes grandes, debido al enorme esfuerzo necesario para mantener las tablas ARP actualizadas: cada vez que se cambie la dirección IP de un equipo, es necesario actualizar todas las tablas de todos los equipos de la red.

Por lo tanto, en redes grandes es preferible usar otro método: el DHCP snooping. Mediante DHCP, el dispositivo de red mantiene un registro de las direcciones MAC que están conectadas a cada puerto, de modo que rápidamente detecta si se recibe una suplantación ARP. Este método es implementado en el equipamiento de red de fabricantes como Cisco (Cisco ASA), Extreme Networks y Allied Telesis.

Otra alternativa que permite evitar los ataques informáticos es la implementación de VLAN’s, básicamente consiste en segmentar o aislar a un grupo de equipos en redes virtuales, mejora el tráfico de red y se puede configurar a los dispositivos para evitar el envenenamiento por ARP.

7.2 PREVINIENDO ESCANER DE PUERTOS

IPS & IDS:

La implementación de IDS como medida de prevención y alerta para proteger una red suele ser de mucha ayuda, sobre todo cuando se genera un escaneo de puertos a un determinado equipo o red a través de estas herramientas que por lo regular consiste en software se detecta accesos no autorizados a un computador o a una red. Estos accesos pueden ser ataques de habilidosos hackers, o de Script Kiddies que usan herramientas automáticas, para identificar los puertos abiertos que pueda tener un equipo a una red.

El funcionamiento de los IDS se basa en el análisis pormenorizado del tráfico de red, el cual al entrar al analizador es comparado con firmas de ataques conocidos, o comportamientos sospechosos, como puede ser el escaneo de puertos, paquetes malformados, etc. El IDS no sólo analiza qué tipo de tráfico es, sino que también revisa el contenido y su comportamiento.

Normalmente esta herramienta se integra con un firewall y en la actualidad cada vez son más los fabricantes y empresas de antivirus que integran a este un IDS, para que el usuario final pueda ser alertado de que su equipo está siendo escaneado. El detector de intrusos es incapaz de detener los ataques por sí solo, excepto los que trabajan conjuntamente en un dispositivo de puerta de enlace con funcionalidad de firewall, convirtiéndose en una herramienta muy poderosa ya que se une la inteligencia del IDS y el poder de bloqueo del firewall, al ser el punto donde forzosamente deben pasar los paquetes y pueden ser bloqueados antes de penetrar en la red.

Los IDS suelen disponer de una base de datos de “firmas” de ataques conocidos. Dichas firmas permiten al IDS distinguir entre el uso normal del PC y el uso fraudulento, y/o entre el tráfico normal de la red y el tráfico que puede ser resultado de un ataque o intento del mismo.

Una alternativa aún más completa es implementar un Sistema de Prevención de Intrusos (IPS), en muchos de los casos consiste de un dispositivo físico (hardware) que ejerce el control de acceso en una red para proteger a los sistemas e infraestructura de ataques y abusos. La tecnología de Prevención de Intrusos es considerada por algunos como una extensión de los Sistemas de Detección de Intrusos (IDS), pero en realidad es otro tipo de control de acceso, más cercano a los tecnologías implementadas en firewalls.

Un Sistema de Prevención de Intrusos, al igual que un Sistema de Detección de Intrusos, funciona por medio de módulos, pero la diferencia es que el IDS alerta al administrador ante la detección de un posible intruso (usuario que activó algún sensor o escáner), mientras que un Sistema de Prevención de Intrusos establece políticas de seguridad para proteger el equipo o la red de un ataque; se podría decir que un IPS protege al equipo proactivamente y un IDS lo protege reactivamente.

Los IPS se categorizan en la forma que detectan el tráfico malicioso:

• Detección Basada en Firmas
• Detección Basada en Políticas
• Detección Basada en Anomalías
• Detección Honey Pot (Jarra de Miel)

Detección Basada en Firmas:
Una firma tiene la capacidad de reconocer una determinada cadena de bytes en cierto contexto, y entonces lanza una alerta. Por ejemplo, los ataques contra los servidores Web generalmente toman la forma de URLs. Por lo tanto se puede buscar utilizando un cierto patrón de cadenas que pueda identificar ataques al servidor Web. Sin embargo, como este tipo de detección funciona parecido a un Antivirus, el Administrador debe verificar que las firmas estén constantemente actualizadas.

Detección Basada en Políticas:
En este tipo de detección, el IPS requiere que se declaren muy específicamente las políticas de seguridad. Por ejemplo, determinar que hosts pueden tener comunicación con determinadas redes. El IPS reconoce el tráfico fuera del perfil permitido y lo descarta.

Detección Basada en Anomalías:
Este tipo de detección tiende a generar muchos falsos positivos, ya que es sumamente difícil determinar y medir una condición ‘normal’. En este tipo de detección tenemos dos opciones:

1. Detección Estadística de Anormalidades: El IPS analiza el tráfico de red por un determinado periodo de tiempo y crea una línea base de comparación. Cuando el tráfico varía demasiado con respecto a la línea base de comportamiento, se genera una alarma.

2. Detección No Estadística de Anormalidades: En este tipo de detección, es el administrador quien define el patrón ‘normal’ de tráfico. Sin embargo, debido a que con este enfoque no se realiza un análisis dinámico y real del uso de la red, es susceptible a generar muchos falsos positivos.

Detección Honey Pot (Jarra de Miel):
Aquí se utiliza un ‘distractor’. Se asigna como Honey Pot un dispositivo que pueda lucir como atractivo para los atacantes. Los atacantes utilizan sus recursos para tratar de ganar acceso en el sistema y dejan intactos los verdaderos sistemas. Mediante esto, se puede monitorear los métodos utilizados por el atacante e incluso identificarlo, y de esa forma implementar políticas de seguridad acordes en nuestros sistemas de uso real. Esta es una de las técnicas más sofisticadas y que ha dado muchos resultados para conocer al enemigo (hacker o cracker), incluso se han generado comunidades alrededor del desarrollo e implementación de Honey Pots que han permitido conocer de manera directa las técnicas que los hacker utilizan al atacar una red.

7.2 HERRAMIENTAS ADICIONALES
Existe un sin número de acciones y herramientas unas comerciales y otras de distribución libre que permiten complementar las acciones de mitigación de los ataques informáticos:

Mac binding en los Switches
Solo los switchs de alta gama tienen esta capacidad. Se debe tener toda la red conectada por switchs. Tener herramientas para la detección en caso de cambios en las tablas ARP

Arpwatch
Envía mail y utiliza el syslog, para alertar en cambios, o paquetes broadcast ARP enviados en la red.

Arpalert
Previene conexiones a la red de MACs que no estén autorizadas y puede correr scripts al detectarlas

Snort
Básicamente este programa, analiza el tráfico de la red y se basa en reglas configuradas para analizarlo. Usar plugins del ETTERCAP para detección

Find_ettercap
Trata de identificar “paquetes ettercap” en la red. Se basa en números de identificación o secuencia, por lo tanto no es muy fiable.

Search_promisc
Envía dos tipos de paquetes ARP request malformados a cada uno de los host, si un host responde, es más o menos posible que su placa este en promiscua, no es seguro pero se tiene una idea de quienes podrían estarlo.

Scan_poisoner
De una lista de hosts chequea si dos PC’s tienen la misma MAC, luego envía paquetes icmp echo, si la MAC de la respuesta difiere de la IP que se tiene la lista, se puede estar frente a una PC que está haciendo un forwarding de ese paquete que va a la PC infectada devuelta.

Se ha hace necesario mencionar que todas estas herramientas y su implementación para detectar, prevenir y mitigar los riesgos debe ir acompañado de una constante concienciación, a usuarios y empleados que hacen uso de la tecnología, de lo importante que es tener asegurada y protegida la información considerada confidencial y sensible, ya sea esta de uso personal o comercial, la ignorancia y el desconocimiento muchas veces puede ocasionar más daño que un virus o amenaza informática, no serviría de nada tener un excelente sistema de seguridad informática en hardware o software, haber invertido miles de dólares en tecnología, si un usuario revela su contraseña de acceso a los sistemas informáticos, todo esfuerzo para asegurar y proteger información, sistemas e infraestructura sería en vano.

8 REFERENCIAS

[1] http://es.wikipedia.org/wiki/VMware
[2] http://sectools.org/index.html
[3] http://www.bulma.net/impresion.phtml?nIdNoticia=1441
[4] http://www.buanzo.com.ar/sec/ettercap.html
[4] http://es.wikipedia.org/wiki/ARP_Spoofing
[4] http://es.wikipedia.org/wiki/Sistema_de_detecci%C3%B3n_
de_intrusos
[4] http://es.wikipedia.org/wiki/Sistema_de_Prevenci%C3%B3n
_de_Intrusos

Nota: Este es un trabajo que lo realicé hace un par de meses, si desearían tener el archivo en formato PDF, dejen su mail y será enviado. Saludos¡¡

Ponencia

Es evidente que la tecnología en la última década ha tenido una evolución impresionante, en el lapso de algo más de una década, esta evolución ha permitido que tengamos herramientas importantes de comunicación y colaboración; el internet y las redes de comunicaciones son ejemplo y consecuencia de este desarrollo, estas se han convertido en herramientas vitales e imprescindibles en la vida cotidiana de gran parte de la humanidad, sobre todo en el quehacer diario de instituciones, empresas públicas y privadas.

Esta evolución ha permitido que gran parte de la información que se produce y se maneja en pequeñas y grandes empresas hayan dejado de generar documentos físicos (papel) y empezado a generar documentos digitales, se habla mucho que la humanidad vive la era del conocimiento, las empresas tienen ese conocimiento generado y adquirido a través de los años almacenados y/o distribuidos en sistemas de información informáticos o computacionales.

Las amenazas y riesgos a los que han estado expuestos estos sistemas de información siempre han existido, pero en la actualidad la información se encuentra más expuesta y pese a los controles y técnicas establecidas la violación a la integridad, disponibilidad, confidencialidad y no repudio de la información cada día es más frecuente. Hoy en día existen gran cantidad de herramientas que utilizan los hackers y crackers para vulnerar los sistemas, muchas de estas herramientas incluso de nombre difíciles de mencionar pero que empleándolas permiten tener acceso a sistemas e información que luego suele ser usada regularmente para cometer fraudes, extorsión y robo.

Las soluciones para mitigar este tipo de amenazas ventajosamente existe, muchas de ellas no necesariamente son ser comerciales, si bien es cierto no existe el concepto de seguridad al cien por ciento, pero se puede en gran medida prevenir gran cantidad de las amenazas informáticas que hoy en día acechan las redes de información y el internet, toda implementación de tecnología para asegurar y proteger la información deben ir acompañada de campañas de sensibilización y concienciación sobre los riegos a los que la información de las personas y las empresas en la actualidad se encuentran expuestas, el recurso humano es importante en la implementación de sistemas de gestión de seguridad de la información (SGSI), una clave revelada por parte de los usuarios o una falla humana ya sea involuntaria o provocada puede llegar a comprometer seriamente la información considerada crítica y confidencial de una empresa o sistema. Es una tarea ardua pero gratificante al mismo tiempo, si bien es cierto se requiere que los oficiales y profesionales de seguridad informática tengan una experiencia y conocimientos amplios de tecnología y redes de información, es un camino que se debe empezar a trazar para quienes gustan de estos temas, en el Ecuador y Latinoamérica los temas de seguridad informática han tomado un repunte importante, de ahí la necesidad de no solo tener tecnología disponible sino también perfiles preparados y calificados para llevar a cabo estas tareas.

Como conclusión se puede mencionar que no solo basta con adquirir e implementar tecnología que permita asegurar y proteger la información, también hay que complementar con investigación llegar a entender y conocer al enemigo (hackers y crackers), es importante mantenerse actualizado e informado de las variantes de las amenazas, así como mejoran los métodos y herramientas de protección de protección, mejoran también las técnicas de ataque y por ende debe mejorar los perfiles y conocimientos de los encargados de asegurar, proteger y administra la seguridad informática de empresa.

Trabajo y Afán de Logro

En una clase de Gerencia, un profesor expreso la frase “Afán de Logro”, se me quedó tan grabada que ahora es parte de mi léxico diario, en ese “Afán de Logro”, me he visto envuelto en situaciones que hacen nos autoevaluemos y preguntemos si lo que uno hace tiene sentido o no.

Estamos por iniciar y coordinar un proyecto de Ethical Hacking (EH) en una prestigiosa empresa de Ecuador, pero en el camino hemos encontrado una serie de eventos, circunstancias y relidades (ojo que no he dicho obstaculos), que parecen retrasar el proyecto, lo cual debo confesarlo a veces desmotiva, y otras enfada, entonces es necesario ser objetivo y tomar decisiones de manera razonable y no espontánea, luego de unas cuantas tasas de agua, de respirar 7 veces 7, y de salir a tomar aire fresco, he decidido conversar con el equipo que llevará acabo el proyecto y exponerle los puntos, y las razones de las cuales porqué deben apoyarnos en este proyecto, tome el tiempo que tome, teniendo la acogida y los resultados esperados entonces el EH vá por que vá . Cuando el proyecto parecía no tener la fuerza necesaria un cambio de actitud a vuelto a ponerlo en marcha.

Ahora se preguntarán, y este tipo que hace contando sus historias o inconvenientes laborales en un blog de seguridad informática; la respuesta está en el contexto, si el proyecto se detuviera o si se lo realizará deportivamente de seguro expondríamos a la empresa a un eminente ataque en un futuro, pero sobretodo estaríamos exponiendo lo que creemos, y traicionaríamos lo que intentamos lograr, “una cultutra de seguridad de la información en el Ecuador”, entonces hemos decidido quizás no cumplir con los objetivos de la dirección o de X o Y posición, “hemos decidido no traicionarnos” y con esta desición estamos seguros que el proyecto será un éxito, sus técnicas y herramientas serán publicadas en este blog, es obvio que los resultados por los acuerdos de confidencialidad firmados no los vamos a publicar pero al menos los mencionaremos de manera general para que ustedes puedan proteger sus datos y/o infraestructura tecnológica. Estamos con “Afán de Logro” con la convicción de que en Ecuador si se hacen cosas bien hechas.

A %d blogueros les gusta esto: