Simulación de ataque


SIMULACIÓN DE ATAQUES INFORMÁTICOS EN ENTORNOS VIRTUALES.

RESUMEN: El documento describe la metodología y técnica empleada para llevar a cabo ataques informáticos, un sniffer y un escáner de puertos son las herramientas que se han escogido para vulnerar los sistemas que se encuentran en entornos virtuales, el objetivo es obtener información confidencial e identificar que puertos se encuentra abiertos para llevar a cabo un ataque, la investigación consiste en entender cómo trabajan y piensan los hackers y crackers a la hora de vulnerar un sistema empleando herramientas y tecnologías que estos utilizan para entender su principio de funcionamiento, tomar las respectivas acciones, medidas de remediación y mitigación de los riesgos que se puedan encontrar. Existe una técnica utilizada por algunos consultores de seguridad informática denominada “hackeo ético” algunas de sus características y conceptos son utilizados en esta investigación.

PALABRAS CLAVE: Análisis de vulnerabilidades, hackeo ético, seguridad informática, simulación en entornos virtuales.

1 INTRODUCCIÓN

La investigación consiste en montar una red virtual, utilizando la plataforma VMware, con dos equipos, el primero con sistema operativo Windows XP (equipo víctima) el cual será atacado desde un segundo equipo una distribución de Linux denominada backtrack en su cuarta versión (equipo atacante) y que justamente es utilizada para consultorías de seguridad informática y contiene herramientas empleadas por los hackers para llevar a cabo sus ataques, cabe mencionar que todo la información contenida en este trabajo es únicamente para fines educativos y no debe ser empleada para llevar ataques reales.

El trabajo realizado también describe las medidas de seguridad y protección que se deben tener en cuenta si una amenaza o vulnerabilidad se hace presente, las acciones a llevar a cabo y que consideraciones se deben tener en cuenta para detectar, prevenir y mitigar las amenazas informáticas.

2 ENTORNOS VIRTUALES

2.1 VMWARE

VMware. VMware Inc., (VM de Virtual Machine) filial de EMC Corporation que proporciona la mayor parte del software de virtualización disponible para ordenadores compatibles X86. Entre este software se incluyen VMware Workstation, y los gratuitos VMware Server y VMware Player. El software de VMware puede funcionar en Windows, Linux, y en la plataforma Mac OS X que corre en procesadores INTEL, bajo el nombre de VMware Fusion. El nombre corporativo de la compañía es un juego de palabras usando la interpretación tradicional de las siglas «VM» en los ambientes de computación, como máquinas virtuales (Virtual Machines).

El equipo de investigación emplea VMWare por ser una plataforma de uso común en la industria, sobre esta plataforma se montan dos equipos virtuales de las siguientes características:

Equipo Víctima
• Microsoft Windows XP SP3 con actualizaciones y parches del Sistema Operativo (SO) al 14/06/2010.
• Antivirus instalado y actualizado.
• Memoria RAM 256 MB.
• Disco duro de 8Gb.
• Interfaz de red virtual.

Equipo Atacante
• Distribución Linux Backtrack v.4 Release final
• Memoria RAM 512 MB
• Disco duro de 8Gb
• Interfaz de red virtual
• Compendio de herramientas para hackeo ético.
• Nmap (Scanner de Puertos)
• Ettercap (Sniffer de red en modo promiscuo)

3 BACKTRACK

3.1 GENERALIDADES DE BACKTRACK

BackTrack es una distribución GNU/Linux en formato LiveCD pensada y diseñada para la auditoría de seguridad y relacionada con la seguridad informática en general. Actualmente tiene una gran popularidad y aceptación en la comunidad que se mueve en torno a la seguridad informática.

Se deriva de la unión de dos grandes distribuciones orientadas a la seguridad, el Auditor + WHAX. WHAX es la evolución del Whoppix (WhiteHat Knoppix), el cual pasó a basarse en la distribución Linux SLAX en lugar de Knoppix. La última versión de esta distribución cambió el sistema base, antes basado en Slax y ahora en Ubuntu.

Incluye una larga lista de herramientas de seguridad listas para usar, entre las que destacan numerosos escaners de puertos y vulnerabilidades, archivos de exploits, sniffers, herramientas de análisis forense y herramientas para la auditoría Wireless. Fue incluida en el puesto 32 de la famosa lista “Top 100 Network Security Tools” de 2006.

En la investigación se utiliza BackTrack como herramienta para llegar a cumplir con el objetivo, vulnerar y simular ataques informáticos, dicha herramienta es una de las más utilizadas en cuanto a análisis y auditorias de sistemas se refiere y es bueno que los futuros auditores se vayan familiarizando con este tipo de recursos para tenerla en cuenta cuando se lo requiera.

3.2 CONFIGURACIÓN DE BACKTRACK
Luego de haber instalado la máquina virtual con Backtrack v.4 se debe configurar la interfaz de red por defecto las interfaces de red vienen deshabilitadas para habilitar y configurar la interface de red.
Para configurar una dirección IP estática hay que ubicarse en el archivo /etc/network/interfaces e ingresar los siguientes parámetros de red:
auto eth0
iface eth0 inet static
address 192.168.0.100
netmask 255.255.255.0
network 192.168.0.0
broadcast 192.168.0.255
gateway 192.168.0.1

También es necesario configurar un nombre de Dominio (DNS) “nameserver” en el archivo /etc/resolv.conf:

vim /etc/resolv.conf
nameserver 192.168.0.1

Luego de configurar la red se debe activar e iniciar la interface de red ejecutando el comando:

/etc/init.d/networking start [restart/stop]

Se verifica con el comando “ipconfig” si la dirección IP asignada se ha configurado correctamente, y con el comando ping se verifica la conexión entre el equipo atacante y el equipo víctima.

4 CONFIGURACIÓN DEL EQUIPO VÍCTIMA

Consiste en un equipo virtual instalado con el sistema operativo Windows XP SP3 con todas las actualizaciones y parches a la fecha, este equipo también tiene instalado un sistema de Anti Virus con sus debidas actualizaciones a la fecha.

La configuración de la interface de red debe estar en el mismo rango de red en el que se encuentra el equipo atacante.

Lo que se intenta es validar que tan vulnerable puede ser o no un sistema incluso teniendo instalado y actualizado su sistema operativo y de antivirus.

5 HERRAMIENTAS PARA ATAQUES INFORMÁTICOS

Como ya se lo había mencionad con anterioridad Backtrack contiene una variedad de herramientas preinstaladas para llevar a cabo pruebas de intrusión, auditoria o análisis forenses, de ese compendio de herramientas en la investigación se utiliza las siguientes herramientas:

• Ettercap
• Nmap
• SSLStrip

5.1 ETTERCAP (SNIFFER)
Ettercap es un interceptor/sniffer/registrador para redes LAN. Soporta conexiones activas y pasivas de varios protocolos (incluso aquellos cifrados, como SSH y HTTPS). También hace posible la inyección de datos en una conexión establecida y filtrado en línea, aun manteniendo la conexión sincronizada gracias a su poder para establecer un Ataque Man-in-the-middle(Spoofing). Tiene muchos modos de sniffing implementados que brinda un conjunto de herramientas completas de sniffing.

Es compatible con SSH1: puede interceptar cuentas de usuario y contraseñas incluso en conexiones “seguras” con SSH.

Es compatible con HTTPS: intercepta conexiones mediante http SSL incluso si se establecen a través de un proxy.

Intercepta tráfico remoto mediante un túnel GRE: si la conexión se establece mediante un túnel GRE con un router Cisco, puede interceptarla y crear un ataque “Man in the Middle”.

Ettercap permitirá capturar el tráfico que circula entre el equipo víctima y la red, siendo el equipo atacante quien intercepte todo el tráfico permitiendo obtener acceso a información considerada confidencial.

5.2 CONFIGURACION ETTERCAP

Ettercap es empleado para capturar el tráfico entre la máquina víctima y el equipo atacante, utilizando envenenamiento de ARP, es posible capturar el tráfico HTTP y HTTP’s empleando esta herramienta.

Para capturar el tráfico HTTPS en el archivo /etc/etter.conf se debe descomentar las siguientes opciones:

redir_command_on = “ipchains -A input -i %iface -p tcp -s 0/0 -d 0/0 %port -j REDIRECT %rport”

redir_command_off = “ipchains -D input -i %iface -p tcp -s 0/0 -d 0/0 %port -j REDIRECT %rport”

redir_command_on = “iptables -t nat -A PREROUTING -i %iface -p tcp –dport %port -j REDIRECT –to-port %rport”

redir_command_off = “iptables -t nat -D PREROUTING -i %iface -p tcp –dport %port -j REDIRECT –to-port %rport”

Luego de que Ettercap se encuentra configurado, lo que queda es elegir el objetivo y proceder a realizar un ataque del tipo “hombre en el medio”.

Como evidencia se muestra el tráfico HTTP capturado en una conversación de chat establecida:

Se puede observar que filtra el tráfico de una conversación considerada privada, si el ataque fuese real, y la víctima en su conversación revelara sus claves de acceso, códigos de tarjetas de crédito o información personal considerada privada, el atacante sin mayor esfuerzo podría obtener esta información y utilizarla con fines delictivos.

5.3 NMAP

Es una herramienta que permite realizar identificación de equipos en una determinada red, con nmap se puede listar los equipos que se encuentran activos en una red, identificar que puertos se encuentran abiertos y disponibles de un determinado equipo para llevar a cabo un eventual ataque.

En la investigación con nmap se realiza un escaneo del equipo víctima, teniendo como resultado:

Con el comando “nmap [ip_victima]” se obtiene:

Interesting ports on 172.16.8.65:
Not shown: 994 closed ports

PORT STATE SERVICE
135/tcp open msrpc
139/tcp open netbios-ssn
445/tcp open microsoft-ds
912/tcp open unknown
2002/tcp open globe
3389/tcp open ms-term-serv

MAC Address: 00:23:7D:1A:84:18 (Hewlett Packard)
Nmap done: 1 IP address (1 host up) scanned in 14.37 seconds

Si se desea verificar que hosts se encuentran activos en una determinada red se utiliza el siguiente comando: nmap -sP 172.16.8.1-255

Starting Nmap 5.00 ( http://nmap.org ) at 2010-06-16 15:47 UTC
Host 172.16.8.1 is up (0.00041s latency).
MAC Address: 00:14:22:77:06:3F (Dell)
Host 172.16.8.2 is up (0.0025s latency).
MAC Address: 00:00:0C:07:AC:01 (Cisco Systems)
Host 172.16.8.3 is up (0.0012s latency).
MAC Address: 00:0C:29:D6:CB:4C (VMware)
Host 172.16.8.4 is up (0.0011s latency).
MAC Address: 00:0C:29:A2:FB:75 (VMware)

Se observa que, como resultado se obtiene la MAC Address, la marca de la tarjeta de red y las direcciones ip’s de los hosts que se encuentran activos.

Es posible también identificar el sistema operativo de cada equipo activo en la red, esta información a simple vista parece no ser relevante, pero las técnicas de hackeo hoy en día pueden valerse de este tipo de información para llevar a cabo los ataques.

Con la información Obtenida de NMAP se puede realizar envenenamiento de ARP, clonación de Mac Address, ingresar un troyano o un gusano por los puertos abiertos, si el Sistema Operativo no tiene los parches de seguridad más críticos se puede hacer uso de herramientas denominadas exploits para lograr un acceso al sistema (explotar una vulnerabilidad) permanente sin que la víctima se de cuenta de que está siendo atacada.

6 SSLStrip ATACANDO SSL

SSLStrio es una herramienta que automatiza el proceso de realizar un ataque “Hombre en el medio MintM” contra las peticiones SSL.

Lo primero a hacer es activar y configurar el redireccionamiento en iptables con el comando:

“echo “1” > /proc/sys/net/ipv4/ip_forward”

Luego se agrega una regla iptables que permita redirigir todo el tráfico del puerto 80 al puerto 10000 o al puerto que se desee redirigir el trafico, siempre y cuando se le indique a SSLStrip en que puerto debe escuchar: el comando es:

“slstrip –a –l 10000“

Donde –a permite registrar todo el tráfico HTTP y HTTPS y –l indica el puerto por donde se va a redirigir el tráfico.

Cuando se realiza estas acciones se puede observar en el equipo víctima con el comando arp –a que la MAC Address de la víctima ha sido duplicada.

Redirigiendo todo el tráfico al equipo atacante, y capturando el tráfico SSL, con este ataque se podría capturar contraseñas de acceso, numero de tarjetas de crédito y claves de acceso a correos personales en donde la mayoría de usuarios almacenan información personal y relevante, este ataque ha sido muy empleado en los últimos tiempos y preocupa ver que en muchas instituciones y empresas sobretodo en el Ecuador no se toman las debidas medidas de seguridad informática para mitigar estos riesgos.

7 PREVENCIÓN, DETECCIÓN Y MITIGACION DE RIESGOS

La tarea o la acción de hackear o vulnerar un sistema de manera relativa resulta fácil o al menos requiere de un menor esfuerzo, sobre todo por la información que circula en la red. Hoy en día es común encontrar herramientas gratuitas con su debida documentación para llevar a cabo un determinado ataque, es penoso decirlo pero la sociedad enfrenta una amenaza silenciosa que al menos en Ecuador aun no se le da la importancia que el tema debe tener. Las herramientas van desde exploits disponibles en internet para aprovecharse de vulnerabilidades de Sistemas Operativos por falta de actualizaciones hasta herramientas más completas y comerciales que garantizan acceder a un sistema, vulnerarlo, obtener información confidencial y sin dejar rastro algún, lo que confirma que el negocio de la cyber delincuencia está en pleno crecimiento.

Por tal razón se hace necesario tener profesionales con perfiles cada vez más completos para poder prevenir, detectar y mitigar estos riesgos y amenazas, el oficial o encargado de seguridad informática de las empresas deben estar más preparados e informados que los propios hacker resulta muy complicado de comprender pero estos profesionales deben desarrollar capacidades de hackers sin llegar a ser uno de ellos.

Varias asociaciones han sido formadas para colaborar en esta ardua tarea y se han llegado a desarrollar metodologías para poder mitigar estas amenazas y riesgos, el gobierno británico es una de ellas, la firma EC Council, ofrece ya desde hace algunos años la metodología y certificación CEH (Certified Ethical Hacker) que básicamente consiste en emplear las técnicas y herramientas que los crackers y hackers utilizan para poder vulnerar los sistemas, otras metodologías que se pueden emplear son OSSTM de ISECOM, IAM/IEM del gobierno de los Estados Unidos auspiciadas por el FBI.

7.1 PREVINIENDO ARP POISING

Existen algunos métodos para solucionar y evitar el envenenamiento de ARP en las redes LAN, se puede implementar:

RUTAS ARP ESTÁTICAS

Dentro de una red local, se debe mantener rutas estáticas, es decir añadir entradas estáticas ARP, de forma que no exista caché dinámica, cada entrada de la tabla mapea una dirección MAC con su correspondiente dirección IP. Sin embargo, esta no es una solución práctica, sobre todo en redes grandes, debido al enorme esfuerzo necesario para mantener las tablas ARP actualizadas: cada vez que se cambie la dirección IP de un equipo, es necesario actualizar todas las tablas de todos los equipos de la red.

Por lo tanto, en redes grandes es preferible usar otro método: el DHCP snooping. Mediante DHCP, el dispositivo de red mantiene un registro de las direcciones MAC que están conectadas a cada puerto, de modo que rápidamente detecta si se recibe una suplantación ARP. Este método es implementado en el equipamiento de red de fabricantes como Cisco (Cisco ASA), Extreme Networks y Allied Telesis.

Otra alternativa que permite evitar los ataques informáticos es la implementación de VLAN’s, básicamente consiste en segmentar o aislar a un grupo de equipos en redes virtuales, mejora el tráfico de red y se puede configurar a los dispositivos para evitar el envenenamiento por ARP.

7.2 PREVINIENDO ESCANER DE PUERTOS

IPS & IDS:

La implementación de IDS como medida de prevención y alerta para proteger una red suele ser de mucha ayuda, sobre todo cuando se genera un escaneo de puertos a un determinado equipo o red a través de estas herramientas que por lo regular consiste en software se detecta accesos no autorizados a un computador o a una red. Estos accesos pueden ser ataques de habilidosos hackers, o de Script Kiddies que usan herramientas automáticas, para identificar los puertos abiertos que pueda tener un equipo a una red.

El funcionamiento de los IDS se basa en el análisis pormenorizado del tráfico de red, el cual al entrar al analizador es comparado con firmas de ataques conocidos, o comportamientos sospechosos, como puede ser el escaneo de puertos, paquetes malformados, etc. El IDS no sólo analiza qué tipo de tráfico es, sino que también revisa el contenido y su comportamiento.

Normalmente esta herramienta se integra con un firewall y en la actualidad cada vez son más los fabricantes y empresas de antivirus que integran a este un IDS, para que el usuario final pueda ser alertado de que su equipo está siendo escaneado. El detector de intrusos es incapaz de detener los ataques por sí solo, excepto los que trabajan conjuntamente en un dispositivo de puerta de enlace con funcionalidad de firewall, convirtiéndose en una herramienta muy poderosa ya que se une la inteligencia del IDS y el poder de bloqueo del firewall, al ser el punto donde forzosamente deben pasar los paquetes y pueden ser bloqueados antes de penetrar en la red.

Los IDS suelen disponer de una base de datos de “firmas” de ataques conocidos. Dichas firmas permiten al IDS distinguir entre el uso normal del PC y el uso fraudulento, y/o entre el tráfico normal de la red y el tráfico que puede ser resultado de un ataque o intento del mismo.

Una alternativa aún más completa es implementar un Sistema de Prevención de Intrusos (IPS), en muchos de los casos consiste de un dispositivo físico (hardware) que ejerce el control de acceso en una red para proteger a los sistemas e infraestructura de ataques y abusos. La tecnología de Prevención de Intrusos es considerada por algunos como una extensión de los Sistemas de Detección de Intrusos (IDS), pero en realidad es otro tipo de control de acceso, más cercano a los tecnologías implementadas en firewalls.

Un Sistema de Prevención de Intrusos, al igual que un Sistema de Detección de Intrusos, funciona por medio de módulos, pero la diferencia es que el IDS alerta al administrador ante la detección de un posible intruso (usuario que activó algún sensor o escáner), mientras que un Sistema de Prevención de Intrusos establece políticas de seguridad para proteger el equipo o la red de un ataque; se podría decir que un IPS protege al equipo proactivamente y un IDS lo protege reactivamente.

Los IPS se categorizan en la forma que detectan el tráfico malicioso:

• Detección Basada en Firmas
• Detección Basada en Políticas
• Detección Basada en Anomalías
• Detección Honey Pot (Jarra de Miel)

Detección Basada en Firmas:
Una firma tiene la capacidad de reconocer una determinada cadena de bytes en cierto contexto, y entonces lanza una alerta. Por ejemplo, los ataques contra los servidores Web generalmente toman la forma de URLs. Por lo tanto se puede buscar utilizando un cierto patrón de cadenas que pueda identificar ataques al servidor Web. Sin embargo, como este tipo de detección funciona parecido a un Antivirus, el Administrador debe verificar que las firmas estén constantemente actualizadas.

Detección Basada en Políticas:
En este tipo de detección, el IPS requiere que se declaren muy específicamente las políticas de seguridad. Por ejemplo, determinar que hosts pueden tener comunicación con determinadas redes. El IPS reconoce el tráfico fuera del perfil permitido y lo descarta.

Detección Basada en Anomalías:
Este tipo de detección tiende a generar muchos falsos positivos, ya que es sumamente difícil determinar y medir una condición ‘normal’. En este tipo de detección tenemos dos opciones:

1. Detección Estadística de Anormalidades: El IPS analiza el tráfico de red por un determinado periodo de tiempo y crea una línea base de comparación. Cuando el tráfico varía demasiado con respecto a la línea base de comportamiento, se genera una alarma.

2. Detección No Estadística de Anormalidades: En este tipo de detección, es el administrador quien define el patrón ‘normal’ de tráfico. Sin embargo, debido a que con este enfoque no se realiza un análisis dinámico y real del uso de la red, es susceptible a generar muchos falsos positivos.

Detección Honey Pot (Jarra de Miel):
Aquí se utiliza un ‘distractor’. Se asigna como Honey Pot un dispositivo que pueda lucir como atractivo para los atacantes. Los atacantes utilizan sus recursos para tratar de ganar acceso en el sistema y dejan intactos los verdaderos sistemas. Mediante esto, se puede monitorear los métodos utilizados por el atacante e incluso identificarlo, y de esa forma implementar políticas de seguridad acordes en nuestros sistemas de uso real. Esta es una de las técnicas más sofisticadas y que ha dado muchos resultados para conocer al enemigo (hacker o cracker), incluso se han generado comunidades alrededor del desarrollo e implementación de Honey Pots que han permitido conocer de manera directa las técnicas que los hacker utilizan al atacar una red.

7.2 HERRAMIENTAS ADICIONALES
Existe un sin número de acciones y herramientas unas comerciales y otras de distribución libre que permiten complementar las acciones de mitigación de los ataques informáticos:

Mac binding en los Switches
Solo los switchs de alta gama tienen esta capacidad. Se debe tener toda la red conectada por switchs. Tener herramientas para la detección en caso de cambios en las tablas ARP

Arpwatch
Envía mail y utiliza el syslog, para alertar en cambios, o paquetes broadcast ARP enviados en la red.

Arpalert
Previene conexiones a la red de MACs que no estén autorizadas y puede correr scripts al detectarlas

Snort
Básicamente este programa, analiza el tráfico de la red y se basa en reglas configuradas para analizarlo. Usar plugins del ETTERCAP para detección

Find_ettercap
Trata de identificar “paquetes ettercap” en la red. Se basa en números de identificación o secuencia, por lo tanto no es muy fiable.

Search_promisc
Envía dos tipos de paquetes ARP request malformados a cada uno de los host, si un host responde, es más o menos posible que su placa este en promiscua, no es seguro pero se tiene una idea de quienes podrían estarlo.

Scan_poisoner
De una lista de hosts chequea si dos PC’s tienen la misma MAC, luego envía paquetes icmp echo, si la MAC de la respuesta difiere de la IP que se tiene la lista, se puede estar frente a una PC que está haciendo un forwarding de ese paquete que va a la PC infectada devuelta.

Se ha hace necesario mencionar que todas estas herramientas y su implementación para detectar, prevenir y mitigar los riesgos debe ir acompañado de una constante concienciación, a usuarios y empleados que hacen uso de la tecnología, de lo importante que es tener asegurada y protegida la información considerada confidencial y sensible, ya sea esta de uso personal o comercial, la ignorancia y el desconocimiento muchas veces puede ocasionar más daño que un virus o amenaza informática, no serviría de nada tener un excelente sistema de seguridad informática en hardware o software, haber invertido miles de dólares en tecnología, si un usuario revela su contraseña de acceso a los sistemas informáticos, todo esfuerzo para asegurar y proteger información, sistemas e infraestructura sería en vano.

8 REFERENCIAS

[1] http://es.wikipedia.org/wiki/VMware
[2] http://sectools.org/index.html
[3] http://www.bulma.net/impresion.phtml?nIdNoticia=1441
[4] http://www.buanzo.com.ar/sec/ettercap.html
[4] http://es.wikipedia.org/wiki/ARP_Spoofing
[4] http://es.wikipedia.org/wiki/Sistema_de_detecci%C3%B3n_
de_intrusos
[4] http://es.wikipedia.org/wiki/Sistema_de_Prevenci%C3%B3n
_de_Intrusos

Nota: Este es un trabajo que lo realicé hace un par de meses, si desearían tener el archivo en formato PDF, dejen su mail y será enviado. Saludos¡¡

Anuncios

5 Responses to Simulación de ataque

  1. Darius says:

    salu2 aki le dejo mi e-mail favor envarme el archivo en pdf djfalconi@hotmail.com

  2. María Inés says:

    Gracias, muy bueno. Aquí te dejo mi mail: maarin2004@hotmail.com

  3. pierre says:

    aki te dejo mi email no me vayas a hackear XD
    Buen aporte +10
    dxruflex@hotmail.com
    envia me el doc x fa

  4. Anónimo says:

    Amigo te agradeceria si me lo enviaras a mi mail.

    saluds atentos

Responder

Introduce tus datos o haz clic en un icono para iniciar sesión:

Logo de WordPress.com

Estás comentando usando tu cuenta de WordPress.com. Cerrar sesión / Cambiar )

Imagen de Twitter

Estás comentando usando tu cuenta de Twitter. Cerrar sesión / Cambiar )

Foto de Facebook

Estás comentando usando tu cuenta de Facebook. Cerrar sesión / Cambiar )

Google+ photo

Estás comentando usando tu cuenta de Google+. Cerrar sesión / Cambiar )

Conectando a %s

A %d blogueros les gusta esto: