leritzaarias.files.wordpress.com · Web viewEn herramientas como back track lo llaman...
Transcript of leritzaarias.files.wordpress.com · Web viewEn herramientas como back track lo llaman...
República Bolivariana De Venezuela
Ministerio Del Poder Popular Para La Educación Universitaria
Instituto Universitario De Tecnología Agro-Industrial
San Cristóbal Estado Táchira
Pnf-Informática
Integrantes:
Leritza Arias C.I: 20.425.758
Edgar Marquez C.I: 18.161.375
Sección: IM3A
San Cristóbal, febrero de 2014
Fases para un ataque informático.
Fase 1
Reconnaissance (Reconocimiento) : en esta fase se recopila información sobre la posible victima ya sea buscando en internet, revisando documentos desechados, por medio de personas descuidadas o sin muchos
ETAPAS DE UN
ATAQUE
INFORMÁTIC
O
conocimientos que dejen la información desprotegida también por el uso de aplicaciones de sniffing.
Ingeniería social: es la práctica de obtener información confidencial a través de la manipulación de usuarios legítimos. Es una técnica que pueden usar ciertas personas, tales como investigadores privados, criminales, o delincuentes informáticos, para obtener información, acceso o privilegios en sistemas de información que les permitan realizar algún acto que perjudique o exponga la persona u organismo comprometido a riesgo o abusos.
Dumpster-Diving: La basura generada por nuestras corporaciones puede contener importantes detalles: nombres, números de teléfonos, datos internos de empresas, informes desechados. Téngase en cuenta que tanto si lo desechado contiene datos correctos como si no, es un vector de transferencia de información importante. Si los informes parecen correctos, porque transmitirían la información válida, si están tachados o desechados, el atacante sabrá qué datos no son correctos, eliminando así información posible de los espacios de búsqueda. El ‘bucear’ en ese material es lo que se denomina Dumpster Diving (literalmente, bucear en basureros). Es una técnica bastante común, tanto es así que, aparentemente, Oracle, por ejemplo, encargó “Dumpster Diving“ en contra de Microsoft. Ni siquiera es ilegal, porque la basura no cae bajo la protección de datos. Si se tiene el descuido y la imprudencia de dejar al alcance de cualquiera información valiosa y que otra la recoja no podremos extender responsabilidad más que a nosotros mismos.
Libros especializados en dumpster diving en www.rbookshop.com
El SNIFFING : es un ataque definido como "PASIVO" o sea no modifica ningún paquete de NINGÚN protocolo solo los detecta y los lee; lamentablemente son indetectables en la red y la única forma de detectarlos es estar sentado en la máquina que está haciendo sniffing o por algún método de forencia pero siempre sobre la máquina que realiza el ataque.
Fase 2
Scanning (Exploración): En esta fase se utiliza la información obtenida en la fase 1 para obtener números de ip, información sobre sistemas operativos datos de autenticación y demás.
Network mappers: es un libre y de código abierto (licencia) de utilidad para la detección de red y auditoría de seguridad. Muchos sistemas y administradores de red también les resulta útil para tareas como inventario de la red, la gestión de los horarios de servicio de actualización y supervisión de host o tiempo de servicio. Nmap utiliza
paquetes IP en bruto en formas novedosas para determinar qué hosts están disponibles en la red, qué servicios (nombre de la aplicación y versión) estos equipos ofrecen, qué sistemas operativos (y versiones del sistema operativo) que se están ejecutando, qué tipo de filtros de paquetes / cortafuegos están en uso, y docenas de otras características. Fue diseñado para escanear rápidamente grandes redes, pero funciona bien contra los ejércitos individuales.
Nmap se ejecuta en todos los principales sistemas operativos de ordenador, y los paquetes oficiales binarios están disponibles para Linux, Windows y Mac OS X. Además de la clásica línea de comandos ejecutable de Nmap, la suite de Nmap incluye una avanzada interfaz gráfica de usuario y visor de resultados (Zenmap), una transferencia de datos flexible, cambio de dirección, y la herramienta de depuración (NCAT), una utilidad para comparar los resultados del análisis (Ndiff), y una generación de paquetes y una herramienta de análisis de la respuesta (Nping).
Fase 3
Gaining Access (Obtener acceso): Esta es una de las fases más importantes para el Hacker porque es la fase de penetración al sistema, en esta fase el Hacker explota las vulnerabilidades que encontró en la fase 2. La explotación puede ocurrir localmente, offline (sin estar conectado), sobre el LAN (Local Area Network), o sobre el Internet y puede incluir técnicas como buffer overflows (desbordamiento del buffer), denial-of-service (negación de servicios), sesión hijacking (secuestro de sesión), y password cracking (romper o adivinar claves usando varios métodos como: diccionary atack y brute forcé atack).
Los factores que ayudan al Hacker en esta fase a tener una penetración exitosa al sistema dependen de cómo es la arquitectura del sistema y de cómo está configurado el sistema objetivo o víctima, una configuración de seguridad simple significa un acceso más fácil al sistema, otro factor a tener en cuenta es el nivel de destrezas, habilidades y conocimientos sobre seguridad informática y redes que tenga el Hacker y el nivel de acceso que obtuvo al principio de la penetración.
Fase 4
Maintaining Access (Mantener el acceso) : Una vez el Hacker gana acceso al sistema objetivo (Fase3) su prioridad es mantener el acceso que gano en el sistema. En esta fase el Hacker usa sus recursos y recursos del sistema y usa el sistema objetivo como plataforma de lanzamiento de ataques para escanear y explotar a otros sistemas que quiere atacar, también usa programas llamados sniffers para capturar todo el tráfico de la red, incluyendo sesiones de telnet y FTP (File Transfer Protocol). En esta fase el Hacker puede tener la habilidad de subir, bajar y alterar programas y data. En esta fase el hacker quiere permanecer indetectable y para eso remueve evidencia de su penetración al sistema y hace uso de Backdoor (puertas traseras) y Troyanos para ganar acceso en otra ocasión y tratar de tener acceso a cuentas de altos privilegios como cuentas de Administrador. También usan los caballos de Troya (Trojans) para transferir nombres de usuarios, passwords e incluso información de tarjetas de crédito almacenada en el sistema.
Ganar Acceso (Gaining-Access): Esta es una de las fases más importantes para el Hacker porque es la fase de penetración al sistema, en esta fase el Hacker explota las vulnerabilidades que encontró en la fase 2. La explotación puede ocurrir localmente, offline (sin estar conectado), sobre el LAN (Local Area Network), o sobre el Internet y puede incluir técnicas como buffer overflows (desbordamiento de buffer), denial-of-service (negación de servicios), sesión hijacking (secuestro de sesión), y password cracking (romper o adivinar claves usando varios métodos como: diccionary atack y brute forcé atack). Los factores que ayudan al Hacker en esta fase a tener una penetración exitosa al sistema dependen de cómo es la arquitectura del sistema y de cómo está configurado el sistema objetivo o víctima, una configuración de seguridad simple significa un acceso más fácil al sistema, otro factor a tener en cuenta es el nivel de destrezas, habilidades y conocimientos sobre seguridad informática y redes que tenga el Hacker y el nivel de acceso que obtuvo al principio de la penetración.
Fase 5
Covering Tracks (Borrar huellas) archivos de registro (log) o alarmas del Sistemade Detección de Intrusos (IDS): En esta fase es donde se borra todo lo hecho para entrar y mantener el acceso. Para evitar ser atrapado por los administradores de red y los de la seguridad. Hay que intentar borrar los log files y archivos del ids(sistema de detención de intrusos). Las herramientas y técnicas que usa para esto son caballos de Troya, Steganography, Tunneling, Rootkits y la alteración de los “log files” (Archivos donde se almacenan todos los eventos ocurridos en un sistema informático y permite obtener información detallada sobre los hábitos de los usuarios), una vez que el Hacker logra plantar caballos de Troya en el sistema este asume que tiene control total del sistema.
EJEMPLO.
“Seguridad”: es una práctica orientada a la eliminación de las
vulnerabilidades
para evitar o reducir la posibilidad que las potenciales amenazas se
concreten
FLUJO ATAQUE
AMENAZAS Las amenazas son agentes capaces de explotar los fallos
de seguridad que denominamos puntos débiles
su exploración puede ser:
Las categorías básicas son:
Acceso no autorizado Suplantación de identidad Denegación de servicios
VULNERABILIDADES puntos débiles de los activos que son
explorados por personas con intenciones, involuntaria o
lamentablemente por desastre natural
Expone a los activos perjudicando
Integridad
Confidencialidad
Disponibilidad
Integridad : Nos permite garantizar que la información no ha sido
alterada en su contenido.
Confidencialidad: Asegura que solo la persona correcta acceda a la
información que queremos distribuir Grado de sigilo.
La información tiene un fin específico y se destina a un usuario o grupo.
· Confidencial
· Restricto
· Sigiloso
· Publico
Disponibilidad.
La información llega en el momento oportuno
ACTIVOS
A. Información
B. Equipo que la soportan:
· Software
· Hardware
· Organización
c. Personas que los utilizan o usuarios:
Es la probabilidad que las amenazas exploten los puntos débiles,
causando pérdidas a daños en los activos e impactos afectando la
confidencialidad, la integridad y la disponibilidad de la información.
ATAQUE
Planteamiento de la situación
Atacante ————————————– objetivo
RECONOCIMIENTOFase preliminar con la información, busca un vector de ataque
Recursos para obtener esta información:
Ingeniería Social:Localizar
Conversación con personas que están en interacción con el objetivo.
1. recursos que se pueden utilizar:
2. teléfono
3. correo
4. electrónico
5. físicamente
6. internet
Obtener1. números de teléfono secretos
2. contraseñas
3. cuentas de usuarios
4. encargados de recursos humanos.
Dumpster dive : revisar en la basura del objetivo en busca de
información sensible, que de una u otra forma se descartó de manera
incorrecta
Localizar1. información sobre un objetivo
2. listas de empleados y sus correos electrónicos.
3. Tecnología que emplean, software, hardware.
4. Rangos de direcciones IP
5. servicios disponibles
6. nombre de dominio
Las técnicas de reconocimiento de forma general se clasifican:
Pasivas:En esta forma no se interacciona de forma directa con el sistema.
Activas1. Mapa de la red
2. Equipo accesibles
3. Sistemas operativos.
4. puertos abiertos
SEGURIDADMedidas de defensa:
1. Políticas para proteger los activos
2. Guía para conocer el uso de las políticas
3. Responsabilidades a cada usuario.
EXPLORACIONFase donde se va utiliza la información recogida en la fase de
reconocimiento
Fase pasiva———————————–fase activa
1. escáner de red , trazado de rutas
2. escáner de host
3. escáner de puertos y servicios (ejecucion, escucha)
4. escaneo de manera sigilosa
5. Comandos del sistema operativo
6. vulnerabilidades
7. Base de datos (whois ripe )
Obtener1. software utilizado
2. versiones del sistema
3. Infraestructura en la red
4. Routers y cortafuegos
Ping, Fping, Hping, Xprobe,P0f, Nmap,analisis metadatos,
OSINT,traceroute,descubrimiento conDNS, dig
SEGURIDAD1. ejecutar los servicios y aplicaciones necesarias.
2. IDS, si el escaneo se realiza muy rápido puede ser detectado
3. Aplicar las actualizaciones a todos los paquetes que tenga
disponibles
EnumeraciónObtener más información sobre el objetivo ya identificado y escoger
las más apropiadas para el acceso, en esta fase es donde el atacante
ya está en el objetivo
Obtener1. conexiones activas al sistema
2. peticiones directas (sistemas de seguridad)
Enumeración
1. Recursos de red
2. Recursos compartidos
3. Usuarios
4. Nombres de grupos
Acceso
El medio de ataque:
Red inalámbrica
Internet
LAN.
ObtenerEl acceso en el objetivo
Recursos1. una vulnerabilidad
2. Explote
Acceso secuestro de sesión.
ESCALAMIENTO
Lo que el atacante realizará después de obtener acceso a un sistema:
privilegios y derechos en caso de que no sea administrador
En esta fase el intruso intentara obtener otras formas de acceso.
Obtener
1. agregar usuarios con altos privilegios
2. robar contraseñas de otros usuarios
Recursos1. sniffers
1. keyloggers
2. rootkits
3. troyanos
Un rootkit es un conjunto de herramientas que le permite al atacante
ocultar procesos, sesiones, conexiones
Eliminación del rastro
Fase a todas las acciones que realizará el atacante para cubrir su
rastro y poder incrementar el mal uso del sistema sin ser
detectado. Eliminación de evidencia del ataque
Una fase opcional en la que puede incurrir el atacante es colocar
puertas-traseras
puertas traseras
Las puertas traseras son un método utilizado para regresar al sistema
sin volverlo a explotar.
1. estenografía
2. túneles en TCP.
3.
RECONOCIMIENTO EN PRÁCTICAComo se dijo en el flujo consiste en Localizar, obtener, reunir y
guardar para la posterior exploración, muchos lo llaman vector de
ataque pues un vector lo que en si es es un ente con una magnitud y
una dirección, a partir de un plano de referencia ósea la analogía es:
Hay dos puntos el inicial y el final óseo
Atacante ————————————– objetivo
El atacante parte de cero en el plano de referencia, el objetivo puede
ser uno de los infinitos puntos que hay en el plano de referencia,
puede ser el mismo cero, ósea el atacante mismo.
Pero son mucha verdad, hay que escoger uno, en este caso
vamos a acotar el rango y el dominio……… (“parece clase de pre
calculo “).
Como la acotamos? Haciendo un análisis de requisitos y una
especificación de lo que se quiere …..(“¡ahora con ingeniería de
sistemas….!”)
Aquí lo que hacemos es identificar ese punto, pero igual el
atacante está en el punto cero, lo ideal es que la diferencia de ambos
tienda a cero ósea el atacante este en ese punto.
Cuando se habla de vector de ataque lo que se quiere decir es la
identificación de ese punto “la dirección” y que tan lejos está de llegar
allí
“Magnitud”: después de identificado el punto ósea “que es o quien
es” se procede a hacer la arquitectura del plan para recoger
información, se comienza hacer diagramas en la cual se muestre como
y a donde hacer esta recolección teniendo el objetivo identificado, es
la “fase de arquitectura” Como:
1. información sobre el objetivo
2. listas de empleados y sus correos electrónicos.
3. Tecnología que emplean, software, hardware.
4. Rangos de direcciones IP
5. servicios disponibles
6. nombre de dominio
/*****Una ayuda útil INTERNET, los archivos desechados los equipos
de cómputo que se formatearon rápido, los mismos
empleados…….entre otros.
Con respecto a los empleados muchos tienen conocimiento de
no dar información pero caen cuando el atacante se hace la víctima,
por ejemplo el atacante dice soy tal y no confió en usted, no lo logró
identificar? la verdadera víctima se identifica y a veces dice de más.
O por ejemplo el atacante sabe de la existencia de un amigo de la
víctima y sabe que no tiene una red social en donde la victima está,
por ejemplo Facebook, además sabe que no se han hablado desde
hace tiempo o está lejos, pues el atacante hace una suplantación de
identidad y obtiene información. O aun peor se hace amigo de la
víctima con una foto y nombre falso y comienza a chatear con él
O tiene el nombre de uno de los administradores de red o
sistemas y busca que ha preguntado en los foros, lo ideal es que este
administrador en este escenario se nombre con NICK que nadie sepa
pero antes se deben hacer pruebas pues lo que se desea es que esto
sea lo más exitoso, por ejemplo se hace una verificación de aquella
información recogida, ósea si se obtuvo un número de teléfono se
hace una verificación de él. Después se hace una documentación para
la posterior fase, que es la fase de exploración y donde se utiliza las
herramientas y técnicas
Un ejemplo con WHOIS en internet
Muestra mucha información verdad? Y en ciertos casos muestra los
name serve, donde podemos ver donde tiene alojado el sitio entre
otros. Pero que podemos hacer con esto? buscar por internet el
nombre de la persona que registró el dominio y aparecerá estudios,
universidad, año de sus graduaciones, amigos en Facebook,
comentarios en foros, si tiene twitter todo lo que hace en el día, si
buscamos por imágenes en google lo podemos conocer, entre otras
cosas en todo caso se ha de recoger bastante información que nos
permita identificar ese punto y la una magnitud que nos permitirá
saber que tan fácil o difícil será el costo.
EXPLORACIÓN EN PRÁCTICA
En esta fase nos basaremos de la fase anterior de la fase de
reconocimiento donde identificamos el objetivo, si seguimos el
esquema que planteé del plano cartesiano en esta fase el atacante
está en el mismo punto del objetivo pero sin tocar el punto, aquí lo que
se hace es recolectar información para tener acceso y poder estar
dentro del punto. Que podríamos hacer ahora? utilizar técnicas y
herramientas para lograrlo un ejemplo es el comando dig en linux con
la que tenemos información a partir de un dominio
Qué clase de información? la ip publica con la que se utilizara para
hacer un escaneo de puertos con nmap en la foto siguiente hice una
práctica en la cual puse un registro tipo A que direccionaba a la ip
publica que tengo en este momento, esto en el registro de dominio
xxxxxxxx , en el router que tengo en el punto de demarcación puse a
direccionar la entrada por el puerto 80 a una de las maquinas dentro
de la LAN
mi objetivo es este en la consola digito dig dominio.
Forma de ataque: y este también tiene dos puntos
Fase pasiva———————————--fase activa
Entre más se acerque a la fase activa más contacto habrá con los
dispositivos del objetivo.
Ejemplo en los ataques pasivos, se intersecta, se averigua, se
copia en cambio en el activo se modifica, se suplanta, se altera otras
herramientas pueden ser traceroute, hping , utilizando sniffer entre
otros.
En fin en esta fase se intentará recoger toda la información
posible como para decir, lo tenemos rodeado.
ENUMERACION EN PRACTICA: En esta fase ya el objetivo
identificado está rodeado, lo que hay que hacer es estar en el punto
del objetivo, ósea entrar al sistema, bueno sigilosamente, por eso todo
el análisis previo. Esta fase es la más compleja, pues en esta fase es
donde se identificará en que parte de ese punto que estamos
rodeando es el más apto para lograr ingresar, ……/***osea como
lograr tocar el punto***/……
En herramientas como back track lo llaman penetración del
sistema, en esta fase se podrían hacer uso de dos formas teniendo en
cuenta el flujo de seguridad, /***** por eso es tan importante conocer
esto,,, en comunidades lo llaman hacking ético. Aunque
lamentablemente hay forajidos, pero forajido son los que andan
huyendo de la justicia? …..si es cierto pero en mi criterio la realidad
de justo en este escenario es que se utilice esto como pasos para
asegurar no para hacer otras cosas, entonces si huyes de esto , que
eres? ***/
Una de las formas es conseguir o crear un exploit que
aprovecha una vulnerabilidad de un servicio que tal vez se logró
conseguir en la fase anterior, una herramienta puede ser nessus en
windows como RETINA, Metasploit framework. Otra es obteniendo los
password, como? Por ingeniería social, por habilidad en la consola,
por algunas herramientas como HYDRA, BRUTUS, en windows como
john the riper , cain & abel, userinfo, userdump, entre otros o hacer
uso de keylooger que graban todo lo que un usuario digita en el
teclado.