Seguridad web -articulo completo-español
31
Seguridad web. Seguridad web.
-
Upload
isidro-luna-beltran -
Category
Education
-
view
169 -
download
5
Transcript of Seguridad web -articulo completo-español
Seguridad web.
Seguridad web.
Isidro luna BeltránIsmael Velasco miguel
Instituto tecnológico de Tuxtepec
Febrero 2014
Seguridad web.
RESUMEN
Al igual que muchas otras áreas relacionadas con la seguridad la World Wide web presenta
dos tipos de problemas muy diferentes con soluciones muy distintas. De una parte, la
mayoría de nosotros usamos un navegador web de manera habitual y deseamos evitar que
nuestros clientes web ejecuten código de un ataque que le permita hacerse con el control de
nuestra máquina. Por otra parte están los servidores web, a los que no deseamos que se
vean comprometidos por ataques constantes. Así que ¿Cuál es la respuesta? Pues bien no
existe una única respuesta. Necesitamos seguir una serie de pasos para proteger tanto a los
clientes como a los servidores. Como administrador de servidores no puedes forzar a tus
clientes a asegurarse, pero puedes proteger tu propio servidor y aplicaciones basadas en
web de ataques. Protegiendo el servidor también puedes evitar los clientes rotos o usuarios
que hayan visitado sitios hostiles de acciones de ataque que pudieran dañar sus cuentas o
datos alojados en nuestro sitio, saboteándolo; por ejemplo, un ataque de scripting multisitio
que interactúa con la cuenta del usuario para cambiar la contraseña de su cuenta en nuestro
sitio.
Seguridad web.
Palabras claves
World Wide web
Scripting
Servidores
Seguridad web.
INTRODUCCION
La seguridad absoluta es indemostrable, Mantener un sistema seguro consiste en garantizar
tres aspectos fundamentales tales como: confidencialidad en donde solo pueden acceder a
los recursos de nuestro sistema agentes autorizados, integridad dentro de ella los recursos
de nuestro sistema solo pueden ser modificadas por nuestro agente y disponibilidad en
donde los recursos de nuestros sistemas estarán a disposición de nuestro agente autorizado.
Hoy en día la seguridad es un aspecto muy importante en cualquier tipo de empresas u
organizaciones en donde se manejen información de suma importancia, con este motivo
hemos decidido realizar nuestra investigación en este ámbito debido a que cada vez hay más
personas dedicadas al robo de la información para sacarle provecho o bien vendérselas a la
competencia.
Con nuestra investigación lograremos que todos y cada uno de los lectores se prevengan a
ciertos ataques que dañen la integridad ya sea personal o de su propia empresa perdiendo
así información de gran utilidad.
Seguridad web.
METODOLOGÍA
La metodología que utilizamos fue prácticamente una gran búsqueda de información en
libros, revistas, así como en distintos sitios web en donde obtuvimos información de gran
relevancia para nuestro trabajo.
CAPITULO 1. SEGURIDAD WEB
1.1. ¿QUE ES LA SEGURIDAD WEB?
La red mundial Internet y sus elementos asociados son mecanismos ágiles que proveen una
alta gama de posibilidades de comunicación, interacción y entretenimiento, tales como
elementos de multimedia, foros, chat, correo, comunidades, bibliotecas virtuales entre otros
que pueden ser accedidos por todo tipo de público. Sin embargo estos elementos deben
contener mecanismos que protejan y reduzcan los riesgos de seguridad alojados, distribuidos
y potencializados a través del mismo servicio de Internet.
La seguridad debe establecer normas que minimicen los riesgos a la información o
infraestructura dentro de cualquier organización. Estas normas incluyen horarios de
funcionamiento, restricciones a ciertos lugares, autorizaciones, denegaciones, perfiles de
usuario, planes de emergencia, protocolos y todo lo necesario que permita un buen nivel de
seguridad minimizando el impacto en el desempeño de los trabajadores y de la organización
en general y como principal contribuyente al uso de programas realizados por
programadores.
La seguridad está concebida para proteger los activos informáticos, entre los que se
encuentran los siguientes:
• La infraestructura computacional: Es una parte fundamental para el almacenamiento y
gestión de la información, así como para el funcionamiento mismo de la organización.
La función de la seguridad informática en esta área es velar que los equipos funcionen
adecuadamente y anticiparse en caso de fallas, robos, incendios, boicot, desastres
naturales, fallas en el suministro eléctrico y cualquier otro factor que atente contra la
Seguridad web.
infraestructura.
• Los usuarios: Son las personas que utilizan la estructura tecnológica, zona de
comunicaciones y que gestionan la información. Debe protegerse el sistema en
general para que el uso por parte de ellos no pueda poner en entredicho la seguridad
de la información y tampoco que la información que manejan o almacenan sea
vulnerable.
• La información: es el principal activo. Utiliza y reside en la infraestructura
computacional y es utilizada por los usuarios.
Generalmente se ocupa exclusivamente a asegurar los derechos de acceso a los datos y
recursos con las herramientas de control y mecanismos de identificación. Estos mecanismos
permiten saber que los operadores tienen sólo los permisos que se les dio.
Ilustración 1: el servicio de seguridad y filtrado permite a las organizaciones protegerse de las amenaza.
1.2. CONCEPTOS GENERALES DE SEGURIDAD.
• Confidencialidad: Se refiere a que la información solo puede ser conocida por individuos
Seguridad web.
autorizados.
• Integridad: Se refiere a la seguridad de que una información no ha sido alterada, borrada,
reordenada, copiada, etc., bien durante el proceso de transmisión o en su propio equipo de
origen.
•Disponibilidad: Se refiere a que la información pueda ser recuperada o esté disponible en
el momento que se necesite.
• Seguridad de la Información: Son aquellas acciones que están encaminadas al
establecimiento de directrices que permitan alcanzar la confidencialidad, integridad y
disponibilidad de la información, así como la continuidad de las operaciones ante un evento
que las interrumpa.
•Activo: Recursos con los que cuenta la empresa y que tiene valor, pueden ser tangibles
(servidores, desktop, equipos de comunicación) o intangibles (Información, políticas, normas,
procedimientos).
•Vulnerabilidad: Exposición a un riesgo, fallo o hueco de seguridad detectado en algún
programa o sistema informático.
• Amenaza: Cualquier situación o evento posible con potencial de daño, que pueda
presentarse en un sistema.
• Riesgo: Es un hecho potencial, que en el evento de ocurrir puede impactar negativamente
la seguridad, los costos, la programación o el alcance de un proceso de negocio o de un
proyecto.
• Correo electrónico: El correo electrónico es un servicio de red que permite que los
usuarios envíen y reciban mensajes incluyendo textos, imágenes, videos, audio, programas,
etc., mediante sistemas de comunicación electrónicos.
Seguridad web.
Ilustración 2: es importante señalar que existen ataques en distintos tipos de navegadores.
1.3. TECNICAS PARA ASEGURAR EL SISTEMA.
El activo más importante que se posee es la información y, por lo tanto, deben existir técnicas
que la aseguren, más allá de la seguridad física que se establezca sobre los equipos en los
cuales se almacena. Estas técnicas las brinda la seguridad lógica que consiste en la
aplicación de barreras y procedimientos que resguardan el acceso a los datos y solo
permiten acceder a ellos a las personas autorizadas para hacerlo.
Cada tipo de ataque y cada sistema requiere de un medio de protección o más (en la
mayoría de los casos es una combinación de varios de ellos)
A continuación se enumeran una serie de medidas que se consideran básicas para asegurar
un sistema tipo, si bien para necesidades específicas se requieren medidas extraordinarias y
de mayor profundidad:
Utilizar técnicas de desarrollo que cumplan con los criterios de seguridad al uso para todo el
software que se implante en los sistemas, partiendo de estándares y de personal
suficientemente formado y concienciado con la seguridad.
Seguridad web.
• Implantar medidas de seguridad físicas: sistemas anti incendios, vigilancia de los
centros de proceso de datos, sistemas de protección contra inundaciones,
protecciones eléctricas contra apagones y sobretensiones, sistemas de control de
accesos, etc.
• Codificar la información: criptología, criptografía y criptociencia. Esto se debe realizar
en todos aquellos trayectos por los que circule la información que se quiere proteger,
no solo en aquellos más vulnerables. Por ejemplo, si los datos de una base muy
confidencial se han protegido con dos niveles de firewall, se ha cifrado todo el trayecto
entre los clientes y los servidores y entre los propios servidores, se utilizan certificados
y sin embargo se dejan sin cifrar las impresiones enviadas a la impresora de red,
tendríamos un punto de vulnerabilidad.
• Contraseñas difíciles de averiguar que, por ejemplo, no puedan ser deducidas a partir
de los datos personales del individuo o por comparación con un diccionario, y que se
cambien con la suficiente periodicidad. Las contraseñas, además, deben tener la
suficiente complejidad como para que un atacante no pueda deducirla por medio de
programas informáticos. El uso de certificados digitales mejora la seguridad frente al
simple uso de contraseñas.
• Vigilancia de red. Las redes transportan toda la información, por lo que además de ser
el medio habitual de acceso de los atacantes, también son un buen lugar para obtener
la información sin tener que acceder a las fuentes de la misma. Por la red no solo
circula la información de ficheros informáticos como tal, también se transportan por
ella: correo electrónico, conversaciones telefónicas (VoIP), mensajería instantánea,
navegación Internet, lecturas y escrituras a bases de datos, etc. Por todo ello, proteger
la red es una de las principales tareas para evitar robo de información. Existen
medidas que abarcan desde la seguridad física de los puntos de entrada hasta el
control de equipos conectados, por ejemplo 802.1x. En el caso de redes inalámbricas
la posibilidad de vulnerar la seguridad es mayor y deben adoptarse medidas
adicionales.
• Redes perimetrales de seguridad, o DMZ, permiten generar reglas de acceso fuertes
entre los usuarios y servidores no públicos y los equipos publicados. De esta forma,
las reglas más débiles solo permiten el acceso a ciertos equipos y nunca a los datos,
que quedarán tras dos niveles de seguridad.
• Tecnologías repelentes o protectoras: cortafuegos, sistema de detección de intrusos -
Seguridad web.
antispyware, antivirus, llaves para protección de software, etc.
• Mantener los sistemas de información con las actualizaciones que más impacten en la
seguridad.
• Copias de seguridad e, incluso, sistemas de respaldo remoto que permiten mantener
la información en dos ubicaciones de forma asíncrona.
• Controlar el acceso a la información por medio de permisos centralizados y
mantenidos (tipo Active Directory, LDAP, listas de control de acceso, etc.). Los medios
para conseguirlo son:
• Restringir el acceso (de personas de la organización y de las que no lo son) a los
programas y archivos.
• Asegurar que los operadores puedan trabajar pero que no puedan modificar los
programas ni los archivos que no correspondan (sin una supervisión minuciosa).
• Asegurar que se utilicen los datos, archivos y programas correctos en/y/por el
procedimiento elegido.
• Asegurar que la información transmitida sea la misma que reciba el destinatario al cual
se ha enviado y que no le llegue a otro. y que existan sistemas y pasos de emergencia
alternativos de transmisión entre diferentes puntos.
• Organizar a cada uno de los empleados por jerarquía informática, con claves distintas
y permisos bien establecidos, en todos y cada uno de los sistemas o aplicaciones
empleadas.
• Actualizar constantemente las contraseñas de accesos a los sistemas de cómputo,
como se ha indicado más arriba, e incluso utilizando programa que ayuden a los
usuarios a la gestión de la gran cantidad de contraseñas que tienen gestionar en los
entornos actuales, conocidos habitualmente como gestores de identidad.
• Redundancia y descentralización.
Seguridad web.
Ilustración 3: para asegurar el sistema existen diferentes técnicas como las mencionadas anteriormente.
1.4. TIPS DE SEGURIDAD.
• Pornografía Infantil: Evite Alojar, publicar o trasmitir información, mensajes, gráficos,
dibujos, archivos de sonido, imágenes, fotografías, grabaciones o software que en forma
indirecta o directa se encuentren actividades sexuales con menores de edad, en los términos
de la legislación internacional o nacional, tales como la Ley 679 de 2001 y el Decreto 1524
de 2002 o aquella que la aclare, modifique o adicione o todas las leyes que lo prohíban.
• Control de virus y códigos maliciosos: Mantenga siempre un antivirus actualizado
en su equipo(s), procure correr éste periódicamente, de la misma manera, tenga en su
equipo elementos como anti-spyware y bloqueadores de pop-up (ventanas emergentes).
• Evite visitar páginas no confiables o instalar software de dudosa procedencia.
• La mayoría de las aplicaciones peer-to-peer contiene programas espías que se
instalan sin usted darse cuenta. Asegúrese que se aplican las actualizaciones en sistemas
operativos y navegadores Web de manera regular.
• Si sus programas o el trabajo que realiza en su computador no requieren de Java
support, ActiveX, Multimedia Autoplay o auto ejecución de programas, deshabilite estos. Si
así lo requiere, obtenga y configure el firewall personal, esto reducirá el riesgo de exposición.
Seguridad web.
Correo electrónico:
• No publique su cuenta de correo en sitios no confiables.
• No preste su cuenta de correo ya que cualquier acción será su responsabilidad.
• No divulgue información confidencial o personal a través del correo.
• Si un usuario recibe un correo con una advertencia sobre su cuenta bancaria, no debe
contestarlo
• Nunca responda a un correo HTML con formularios embebidos.
• Si ingresa la clave en un sitio no confiable, procure cambiarla en forma inmediata para su
seguridad y en cumplimiento del deber de diligencia que le asiste como titular de la misma.
Control de Spam:
• Nunca hacer clic en enlaces dentro del correo electrónico aun si parecen legítimos. Digite
directamente la URL del sitio en una nueva ventana del browser
• Para los sitios que indican ser seguros, revise su certificado SSL.
• No reenvié los correos cadenas, esto evita congestiones en las redes y el correo, además
del robo de información contenidos en los encabezados.
• Control de la Ingeniería social.
• No divulgue información confidencial suya o de las personas que lo rodean.
• No hable con personas extrañas de asuntos laborales o personales que puedan
comprometer información.
• Utilice los canales de comunicación adecuados para divulgar la información.
Control de phishing:
• Si un usuario recibe un correo, llamada o mensaje de texto con una advertencia sobre su
cuenta bancaria, no debe contestarlo.
• Para los sitios que indican ser seguros, revise su certificado SSL.
• Valide con la entidad con quien posee un servicio, si el mensaje recibido por correo es
Seguridad web.
válido.
Robo de contraseñas:
• Cambie sus contraseñas frecuentemente, mínimo cada 30 días.
• Use contraseñas fuertes: Fácil de recordar y difícil de adivinar.
• Evite fijar contraseñas muy pequeñas, se recomienda que sea mínimo de una longitud de
10 caracteres, combinada con números y caracteres especiales.
• No envié información de claves a través del correo u otro medio que no esté encriptado.
Ilustración 4: para que nuestra información no se vea amenazada evitar páginas inseguras.
Seguridad web.
CAPITULO 2. ATAQUES Y VULNERABILIDADES.
2.1. ATAQUE INFORMATICO
Un ataque informático es un método por el cual un individuo, mediante un sistema
informático, intenta tomar el control, desestabilizar o dañar otro sistema informático
(ordenador, red privada, etcétera).
Hay diversos tipos de ataques informáticos. Algunos son:
• Ataque de denegación de servicio, también llamado ataque DoS (Denial of Service),
es un ataque a un sistema de computadoras o red que causa que un servicio o
recurso sea inaccesible a los usuarios legítimos, normalmente provocando la pérdida
de la conectividad de la red por el consumo del ancho de banda de la red de la víctima
o sobrecarga de los recursos computacionales del sistema de la víctima.
• Man in the middle, a veces abreviado MitM, es una situación donde un atacante
supervisa (generalmente mediante un rastreador de puertos) una comunicación entre
dos partes y falsifica los intercambios para hacerse pasar por una de ellas.
• Ataques de REPLAY, una forma de ataque de red, en el cual una transmisión de datos
válida es maliciosa o fraudulentamente repetida o retardada. Es llevada a cabo por el
autor o por un adversario que intercepta la información y la retransmite, posiblemente
como parte de un ataque enmascarado.
• Ataque de día cero, ataque realizado contra un ordenador, a partir del cual se explotan
ciertas vulnerabilidades, o agujeros de seguridad de algún programa o programas
antes de que se conozcan las mismas, o que, una vez publicada la existencia de la
vulnerabilidad, se realice el ataque antes de la publicación del parche que la solvente.
• Ataque por fuerza bruta. No es necesariamente un procedimiento que se deba realizar
por procesos informáticos, aunque este sistema ahorraría tiempos, energías y
esfuerzos. El sistema de ataque por fuerza bruta, trata de recuperar una clave
probando todas las combinaciones posibles hasta encontrar aquella que se busca, y
que permite el acceso al sistema, programa o archivo en estudio.
Seguridad web.
2.2. INGENIERIA SOCIAL.
Ingeniería social es la práctica de obtener información confidencial a través de la
manipulación de usuarios legítimos. Es una técnica que pueden usar ciertas personas, tales
como investigadores privados, criminales, o delincuentes informáticos, para obtener
información, acceso o privilegios en sistemas de información que les permitan realizar algún
acto que perjudique o exponga la persona u organismo comprometido a riesgo o abusos.
El principio que sustenta la ingeniería social es el que en cualquier sistema "los usuarios son
el eslabón débil". En la práctica, un ingeniero social usará comúnmente el teléfono o Internet
para engañar a la gente, fingiendo ser, por ejemplo, un empleado de algún banco o alguna
otra empresa, un compañero de trabajo, un técnico o un cliente. Vía Internet o la web se usa,
adicionalmente, el envío de solicitudes de renovación de permisos de acceso a páginas web
o memos falsos que solicitan respuestas e incluso las famosas cadenas, llevando así a
revelar información sensible, o a violar las políticas de seguridad típicas. Con este método,
los ingenieros sociales aprovechan la tendencia natural de la gente a reaccionar de manera
predecible en ciertas situaciones, por ejemplo proporcionando detalles financieros a un
aparente funcionario de un banco en lugar de tener que encontrar agujeros de seguridad en
los sistemas informáticos.
Quizá el ataque más simple pero muy efectivo sea engañar a un usuario llevándolo a pensar
que un administrador del sistema está solicitando una contraseña para varios propósitos
legítimos. Los usuarios de sistemas de Internet frecuentemente reciben mensajes que
solicitan contraseñas o información de tarjeta de crédito, con el motivo de "crear una cuenta",
"reactivar una configuración", u otra operación benigna; a este tipo de ataques se los llama
phishing (se pronuncia igual que "fishing", pesca). Los usuarios de estos sistemas deberían
ser advertidos temprana y frecuentemente para que no divulguen contraseñas u otra
información sensible a personas que dicen ser administradores. En realidad, los
administradores de sistemas informáticos raramente (o nunca) necesitan saber la contraseña
de los usuarios para llevar a cabo sus tareas. Sin embargo incluso este tipo de ataque podría
no ser necesario en una encuesta realizada por la empresa Boixnet, el 90% de los
empleados de oficina de la estación Waterloo de Londres reveló sus contraseñas a cambio
Seguridad web.
de un bolígrafo barato.
Otro ejemplo contemporáneo de un ataque de ingeniería social es el uso de archivos
adjuntos en e-mails, ofreciendo, por ejemplo, fotos "íntimas" de alguna persona famosa o
algún programa "gratis" (a menudo aparentemente provenientes de alguna persona
conocida) pero que ejecutan código malicioso (por ejemplo, usar la máquina de la víctima
para enviar cantidades masivas de Spam). Ahora, después de que los primeros e-mails
maliciosos llevaran a los proveedores de software a deshabilitar la ejecución automática de
archivos adjuntos, los usuarios deben activar esos archivos de forma explícita para que
ocurra una acción maliciosa. Muchos usuarios, sin embargo, abren casi ciegamente cualquier
archivo adjunto recibido, concretando de esta forma el ataque.
La ingeniería social también se aplica al acto de manipulación cara a cara para obtener
acceso a los sistemas informáticos. Otro ejemplo es el conocimiento sobre la víctima, a
través de la introducción de contraseñas habituales, lógicas típicas o conociendo su pasado y
presente; respondiendo a la pregunta: ¿Qué contraseña introduciría yo si fuese la víctima?
La principal defensa contra la ingeniería social es educar y entrenar a los usuarios en el uso
de políticas de seguridad y asegurarse de que estas sean seguidas.
Uno de los ingenieros sociales más famosos de los últimos tiempos es Kevin Mitnick. Según
su opinión, la ingeniería social se basa en estos cuatro principios:
1. Todos queremos ayudar.
2. El primer movimiento es siempre de confianza hacia el otro.
3. No nos gusta decir No.
4. A todos nos gusta que nos alaben.
2.3. INYECCION SQL
Inyección SQL es un método de infiltración de código intruso que se vale de una
vulnerabilidad informática presente en una aplicación en el nivel de validación de las
entradas para realizar consultas a una base de datos.
El origen de la vulnerabilidad radica en el incorrecto chequeo y/o filtrado de las variables
utilizadas en un programa que contiene, o bien genera, código SQL. Es, de hecho, un error
Seguridad web.
de una clase más general de vulnerabilidades que puede ocurrir en cualquier lenguaje de
programación o script que esté embebido dentro de otro.
Se conoce como Inyección SQL, indistintamente, al tipo de vulnerabilidad, al método de
infiltración, al hecho de incrustar código SQL intruso y a la porción de código incrustado.
Se dice que existe o se produjo una inyección SQL cuando, de alguna manera, se inserta o
"inyecta" código SQL invasor dentro del código SQL programado, a fin de alterar el
funcionamiento normal del programa y lograr así que se ejecute la porción de código
"invasor" incrustado, en la base de datos.
Este tipo de intrusión normalmente es de carácter malicioso, dañino o espía, por tanto es un
problema de seguridad informática, y debe ser tomado en cuenta por el programador de la
aplicación para poder prevenirlo. Un programa elaborado con descuido, displicencia o con
ignorancia del problema, podrá resultar ser vulnerable, y la seguridad del sistema (base de
datos) podrá quedar eventualmente comprometida.
La intrusión ocurre durante la ejecución del programa vulnerable, ya sea, en computadores
de escritorio o bien en sitios Web, en éste último caso obviamente ejecutándose en el
servidor que los aloja.
La vulnerabilidad se puede producir automáticamente cuando un programa "arma
descuidadamente" una sentencia SQL en tiempo de ejecución, o bien durante la fase de
desarrollo, cuando el programador explicita la sentencia SQL a ejecutar en forma
desprotegida. En cualquier caso, siempre que el programador necesite y haga uso de
parámetros a ingresar por parte del usuario, a efectos de consultar una base de datos; ya
que, justamente, dentro de los parámetros es donde se puede incorporar el código SQL
intruso.
Al ejecutarse la consulta en la base de datos, el código SQL inyectado también se ejecutará
y podría hacer un sinnúmero de cosas, como insertar registros, modificar o eliminar datos,
autorizar accesos e, incluso, ejecutar otro tipo de código malicioso en el computador.
Por ejemplo, asumiendo que el siguiente código reside en una aplicación web y que existe un
parámetro "nombreUsuario" que contiene el nombre de usuario a consultar, una inyección
SQL se podría provocar de la siguiente forma:
Seguridad web.
El código SQL original y vulnerable es:
Consulta:= "SELECT * FROM usuarios WHERE nombre = '" + nombreUsuario + "';"
Ilustración 5: el proceso de la inyección SQL
2.4 SPOOFING.
Spoofing, en términos de seguridad de redes hace referencia al uso de técnicas de
suplantación de identidad generalmente con usos maliciosos o de investigación.
Se pueden clasificar los ataques de spoofing, en función de la tecnología utilizada. Entre
ellos tenemos el IP spoofing (quizás el más conocido), ARP spoofing, DNS spoofing, Web
spoofing o email spoofing, aunque en general se puede englobar dentro de spoofing
cualquier tecnología de red susceptible de sufrir suplantaciones de identidad.
Seguridad web.
Ilustración 6: a través de la dirección ip podemos atacar a nuestra victima
IP Spoofing
Suplantación de IP. Consiste básicamente en sustituir la dirección IP origen de un paquete
TCP/IP por otra dirección IP a la cual se desea suplantar. Esto se consigue generalmente
gracias a programas destinados a ello y puede ser usado para cualquier protocolo dentro de
TCP/IP como ICMP, UDP o TCP. Hay que tener en cuenta que las respuestas del host que
reciba los paquetes alterados irán dirigidas a la IP falsificada. Por ejemplo si enviamos un
ping (paquete icmp "echo ReQuest") suplantado, la respuesta será recibida por el host al que
pertenece la IP legalmente. Este tipo de spoofing unido al uso de peticiones broadcast a
diferentes redes es usado en un tipo de ataque de flood conocido como ataque Smurf. Para
poder realizar Suplantación de IP en sesiones TCP, se debe tener en cuenta el
comportamiento de dicho protocolo con el envío de paquetes SYN y ACK con su SYN
específico y teniendo en cuenta que el propietario real de la IP podría (si no se le impide de
alguna manera) cortar la conexión en cualquier momento al recibir paquetes sin haberlos
solicitado. También hay que tener en cuenta que los enrutadores actuales no admiten el
envío de paquetes con IP origen no perteneciente a una de las redes que administra (los
paquetes suplantados no sobrepasarán el enrutador).
Seguridad web.
ARP Spoofing
Suplantación de identidad por falsificación de tabla ARP. Se trata de la construcción de
tramas de solicitud y respuesta ARP modificadas con el objetivo de falsear la tabla ARP
(relación IP-MAC) de una víctima y forzarla a que envíe los paquetes a un host atacante en
lugar de hacerlo a su destino legítimo.
El protocolo Ethernet trabaja mediante direcciones MAC, no mediante direcciones IP. ARP es
el protocolo encargado de traducir direcciones IP a direcciones MAC para que la
comunicación pueda establecerse; para ello cuando un host quiere comunicarse con una IP
emite una trama ARP-Request a la dirección de Broadcast pidiendo la MAC del host
poseedor de la IP con la que desea comunicarse. El ordenador con la IP solicitada responde
con un ARP-Reply indicando su MAC. Los enrutadores y los hosts guardan una tabla local
con la relación IP-MAC llamada tabla ARP. Dicha tabla ARP puede ser falseada por un
ordenador atacante que emita tramas ARP-REPLY indicando su MAC como destino válido
para una IP específica, como por ejemplo la de un enrutador, de esta manera la información
dirigida al enrutador pasaría por el ordenador atacante quien podrá escanear dicha
información y redirigirla si así lo desea. El protocolo ARP trabaja a nivel de enlace de datos
de OSI, por lo que esta técnica sólo puede ser utilizada en redes LAN o en cualquier caso en
la parte de la red que queda antes del primer enrutador. Una manera de protegerse de esta
técnica es mediante tablas ARP estática (siempre que las IP de red sean fijas), lo cual puede
ser difícil en redes grandes.
Otras formas de protegerse incluyen el usar programas de detección de cambios de las
tablas ARP (como Arpwatch) y el usar la seguridad de puerto de los switches para evitar
cambios en las direcciones MAC.
DNS Spoofing
Suplantación de identidad por nombre de dominio. Se trata del falseamiento de una relación
"Nombre de dominio-IP" ante una consulta de resolución de nombre, es decir, resolver con
una dirección IP falsa un cierto nombre DNS o viceversa. Esto se consigue falseando las
entradas de la relación Nombre de dominio-IP de un servidor DNS, mediante alguna
vulnerabilidad del servidor en concreto o por su confianza hacia servidores poco fiables. Las
entradas falseadas de un servidor DNS son susceptibles de infectar (envenenar) el cache
Seguridad web.
DNS de otro servidor diferente (DNS Poisoning).
Web Spoofing
Suplantación de una página web real (no confundir con phishing). Enruta la conexión de una
víctima a través de una página falsa hacia otras páginas WEB con el objetivo de obtener
información de dicha víctima (páginas web vistas, información de formularios, contraseñas
etc.). La página web falsa actúa a modo de proxy, solicitando la información requerida por la
víctima a cada servidor original y saltándose incluso la protección SSL. El atacante puede
modificar cualquier información desde y hacia cualquier servidor que la víctima visite. La
víctima puede abrir la página web falsa mediante cualquier tipo de engaño, incluso abriendo
un simple enlace. El web spoofing es difícilmente detectable; quizá la mejor medida es algún
plugin del navegador que muestre en todo momento la IP del servidor visitado: si la IP nunca
cambia al visitar diferentes páginas WEB significará que probablemente estemos sufriendo
este tipo de ataque. Este ataque se realiza mediante una implantación de código el cual nos
robará la información. Usualmente se realizan páginas fantasmas en las cuales se inyectan
estos códigos para poder sacar información de las víctimas.
Mail Spoofing
Suplantación en correo electrónico de la dirección de correo electrónico de otras personas o
entidades. Esta técnica es usada con asiduidad para el envío de mensajes de correo
electrónico hoax como suplemento perfecto para el uso de suplantación de identidad y para
SPAM, es tan sencilla como el uso de un servidor SMTP configurado para tal fin. Para
protegerse se debería comprobar la IP del remitente (para averiguar si realmente esa ip
pertenece a la entidad que indica en el mensaje) y la dirección del servidor SMTP utilizado.
GPS Spoofing
Un ataque de GPS spoofing intenta engañar a un receptor de GPS transmitiendo una señal
ligeramente más poderosa que la recibida desde los satélites del sistema GPS, estructurada
para parecerse a un conjunto normal de señales GPS. Sin embargo estas señales están
Seguridad web.
modificadas de tal forma de que causarán que el receptor determine una posición diferente a
la real, específicamente algún lugar determinado por la señal atacante. Debido a que el
sistema GPS trabaja midiendo el tiempo que le toma a una señal el viajar entre el satélite y el
receptor, un spoofing exitoso requiere que el atacante conozca con precisión donde se
encuentra el blanco de tal forma que la señal falsa pueda ser estructurada con el retraso
apropiado.
Un ataque de GPS spoofing comienza con la transmisión de una señal ligeramente más
poderosa que la que entrega la posición correcta, y luego se comienza a desviar lentamente
hacia la posición deseada por el atacante, ya que si esto se hace demasiado rápido el
receptor atacado perderá la fijación en la señal, en cuyo momento el ataque de spoofing sólo
funcionaría como un ataque de perturbación.
Seguridad web.
Resultados
Al concluir la investigación de nuestro artículo obtuvimos toda la información así como el
conocimiento necesario para que cualquier persona que navegue por la web este enterado
de los peligros que existen al navegar. De la misma manera les hicimos llegar un conjunto de
indicaciones para que su información personal no sea utilizada para fines de lucro y tenga en
cuenta las indicaciones para navegar por la web.
Seguridad web.
REFERENCIAS
lockhart. (2011) security hacks.Jean paul garcia muran. (2011). Hacking y seguridad en internet.Mikel gastesi. (2010). Fraude online.Misha glenny. (2008). El lado oscuro de la red.Sebastien baudru. (2005). Seguridad informatica ethical hacking.
