República Bolivariana De Venezuela

Ministerio Del Poder Popular Para La Educación Universitaria

Instituto Universitario De Tecnología Agro-Industrial

San Cristóbal Estado Táchira

Pnf-Informática

Integrantes:

Leritza Arias C.I: 20.425.758

Edgar Marquez C.I: 18.161.375

Sección: IM3A

San Cristóbal, febrero de 2014

Fases para un ataque informático.

Fase 1

Reconnaissance (Reconocimiento)   : en esta fase se recopila información sobre la posible victima ya sea buscando en internet, revisando documentos desechados, por medio de personas descuidadas o sin muchos

ETAPAS DE UN

ATAQUE

INFORMÁTIC

O

conocimientos que dejen la información desprotegida también por el uso de aplicaciones de sniffing.

Ingeniería social:   es la práctica de obtener información confidencial a través de la manipulación de usuarios legítimos. Es una técnica que pueden usar ciertas personas, tales como investigadores privados, criminales, o delincuentes informáticos, para obtener información, acceso o privilegios en sistemas de información que les permitan realizar algún acto que perjudique o exponga la persona u organismo comprometido a riesgo o abusos.

Dumpster-Diving: La basura generada por nuestras corporaciones puede contener importantes detalles: nombres, números de teléfonos, datos internos de empresas, informes desechados.  Téngase en cuenta que tanto si lo desechado contiene datos correctos como si no, es un vector de transferencia de información importante. Si los informes parecen correctos, porque transmitirían la información válida, si están tachados o desechados, el atacante sabrá qué datos no son correctos, eliminando así información posible de los espacios de búsqueda.  El ‘bucear’ en ese material es lo que se denomina Dumpster Diving (literalmente, bucear en basureros). Es una técnica bastante común, tanto es así que, aparentemente, Oracle, por ejemplo, encargó “Dumpster Diving“ en contra de Microsoft. Ni siquiera es ilegal, porque la basura no cae bajo la protección de datos. Si se tiene el descuido y la imprudencia de dejar al alcance de cualquiera información valiosa y que otra la recoja no podremos extender responsabilidad más que a nosotros mismos. 

Libros especializados en dumpster diving en www.rbookshop.com

El SNIFFING : es un ataque definido como "PASIVO" o sea no modifica ningún paquete de NINGÚN protocolo solo los detecta y los lee; lamentablemente son indetectables en la red y la única forma de detectarlos es estar sentado en la máquina que está haciendo sniffing o por algún método de forencia pero siempre sobre la máquina que realiza el ataque.

Fase 2

Scanning (Exploración): En esta fase se utiliza la información obtenida en la fase 1 para obtener números de ip, información sobre sistemas operativos datos de autenticación y demás.

Network mappers: es un libre y de código abierto (licencia) de utilidad para la detección de red y auditoría de seguridad. Muchos sistemas y administradores de red también les resulta útil para tareas como inventario de la red, la gestión de los horarios de servicio de actualización y supervisión de host o tiempo de servicio.  Nmap utiliza

paquetes IP en bruto en formas novedosas para determinar qué hosts están disponibles en la red, qué servicios (nombre de la aplicación y versión) estos equipos ofrecen, qué sistemas operativos (y versiones del sistema operativo) que se están ejecutando, qué tipo de filtros de paquetes / cortafuegos están en uso, y docenas de otras características. Fue diseñado para escanear rápidamente grandes redes, pero funciona bien contra los ejércitos individuales.

Nmap se ejecuta en todos los principales sistemas operativos de ordenador, y los paquetes oficiales binarios están disponibles para Linux, Windows y Mac OS X. Además de la clásica línea de comandos ejecutable de Nmap, la suite de Nmap incluye una avanzada interfaz gráfica de usuario y visor de resultados (Zenmap), una transferencia de datos flexible, cambio de dirección, y la herramienta de depuración (NCAT), una utilidad para comparar los resultados del análisis (Ndiff), y una generación de paquetes y una herramienta de análisis de la respuesta (Nping).

Fase 3

Gaining Access (Obtener acceso): Esta es una de las fases más importantes para el Hacker porque es la fase de penetración al sistema, en esta fase el Hacker explota las vulnerabilidades que encontró en la fase 2. La explotación puede ocurrir localmente, offline (sin estar conectado), sobre el LAN (Local Area Network), o sobre el Internet y puede incluir técnicas como buffer overflows (desbordamiento del buffer), denial-of-service (negación de servicios), sesión hijacking (secuestro de sesión), y password cracking (romper o adivinar claves usando varios métodos como: diccionary atack y brute forcé atack).

Los factores que ayudan al Hacker en esta fase a tener una penetración exitosa al sistema dependen de cómo es la arquitectura del sistema y de cómo está configurado el sistema objetivo o víctima, una configuración de seguridad simple significa un acceso más fácil al sistema, otro factor a tener en cuenta es el nivel de destrezas, habilidades y conocimientos sobre seguridad informática y redes que tenga el Hacker y el nivel de acceso que obtuvo al principio de la penetración.

Fase 4

Maintaining Access (Mantener el acceso)   : Una vez el Hacker gana acceso al sistema objetivo (Fase3) su prioridad es mantener el acceso que gano en el sistema. En esta fase el Hacker usa sus recursos y recursos del sistema y usa el sistema objetivo como plataforma de lanzamiento de ataques para escanear y explotar a otros sistemas que quiere atacar, también usa programas llamados sniffers para capturar todo el tráfico de la red, incluyendo sesiones de telnet y FTP (File Transfer Protocol). En esta fase el Hacker puede tener la habilidad de subir, bajar y alterar programas y data. En esta fase el hacker quiere permanecer indetectable y para eso remueve evidencia de su penetración al sistema y hace uso de Backdoor (puertas traseras) y Troyanos para ganar acceso en otra ocasión y tratar de tener acceso a cuentas de altos privilegios como cuentas de Administrador. También usan los caballos de Troya (Trojans) para transferir nombres de usuarios, passwords e incluso información de tarjetas de crédito almacenada en el sistema.

Ganar Acceso (Gaining-Access): Esta es una de las fases más importantes para el Hacker porque es la fase de penetración al sistema, en esta fase el Hacker explota las vulnerabilidades que encontró en la fase 2. La explotación puede ocurrir localmente, offline (sin estar conectado), sobre el LAN (Local Area Network), o sobre el Internet y puede incluir técnicas como buffer overflows (desbordamiento de buffer), denial-of-service (negación de servicios), sesión hijacking (secuestro de sesión), y password cracking (romper o adivinar claves usando varios métodos como: diccionary atack y brute forcé atack). Los factores que ayudan al Hacker en esta fase a tener una penetración exitosa al sistema dependen de cómo es la arquitectura del sistema y de cómo está configurado el sistema objetivo o víctima, una configuración de seguridad simple significa un acceso más fácil al sistema, otro factor a tener en cuenta es el nivel de destrezas, habilidades y conocimientos sobre seguridad informática y redes que tenga el Hacker y el nivel de acceso que obtuvo al principio de la penetración.

Fase 5

Covering Tracks (Borrar huellas)   archivos de registro (log) o alarmas del Sistemade Detección de Intrusos (IDS): En esta fase es donde se borra todo lo hecho para entrar y mantener el acceso. Para evitar ser atrapado por los administradores de red y los de la seguridad. Hay que intentar borrar los log files y archivos del ids(sistema de detención de intrusos). Las herramientas y técnicas que usa para esto son caballos de Troya, Steganography, Tunneling, Rootkits y la alteración de los “log files” (Archivos donde se almacenan todos los eventos ocurridos en un sistema informático y permite obtener información detallada sobre los hábitos de los usuarios), una vez que el Hacker logra plantar caballos de Troya en el sistema este asume que tiene control total del sistema.

EJEMPLO.

“Seguridad”: es una práctica orientada a la eliminación de las

vulnerabilidades

para evitar o reducir la posibilidad que las potenciales amenazas se

concreten

FLUJO ATAQUE

AMENAZAS Las amenazas son agentes capaces de explotar los fallos

de seguridad que denominamos puntos débiles

su exploración puede ser:

Las categorías básicas son:

Acceso no autorizado Suplantación de identidad Denegación de servicios

VULNERABILIDADES puntos débiles de los activos que son

explorados por personas con intenciones, involuntaria o

lamentablemente por desastre natural

Expone a los activos perjudicando

Integridad

Confidencialidad

Disponibilidad

Integridad : Nos permite garantizar que la información no ha sido

alterada en su contenido.

Confidencialidad: Asegura que solo la persona correcta acceda a la

información que queremos distribuir Grado de sigilo.

La información tiene un fin específico y se destina a un usuario o grupo.

· Confidencial

· Restricto

· Sigiloso

· Publico

Disponibilidad.

La información llega en el momento oportuno

ACTIVOS

A. Información

B. Equipo que la soportan:

· Software

· Hardware

· Organización

c. Personas que los utilizan o usuarios:

Es la probabilidad que las amenazas exploten los puntos débiles,

causando pérdidas a daños en los activos e impactos afectando la

confidencialidad, la integridad y la disponibilidad de la información.

ATAQUE

 

Planteamiento de la situación

Atacante ————————————– objetivo

 

 RECONOCIMIENTOFase preliminar con la información, busca un vector de ataque

 

Recursos para obtener esta información:

Ingeniería Social:Localizar

Conversación con personas que están en interacción con el objetivo.

1. recursos que se pueden utilizar:

2. teléfono

3. correo

4. electrónico

5. físicamente

6. internet

Obtener1. números de teléfono secretos

2. contraseñas

3. cuentas de usuarios

4. encargados de recursos humanos.

Dumpster dive : revisar en la basura del objetivo en busca de

información sensible, que de una u otra forma se descartó de manera

incorrecta

Localizar1. información sobre un objetivo

2. listas de empleados y sus correos electrónicos.

3. Tecnología que emplean, software, hardware.

4. Rangos de direcciones IP

5. servicios disponibles

6. nombre de dominio

Las técnicas de reconocimiento de forma general se clasifican:

Pasivas:En esta forma no se interacciona de forma directa con el sistema. 

Activas1. Mapa de la red

2. Equipo accesibles

3. Sistemas operativos.

4. puertos abiertos

SEGURIDADMedidas de defensa:

1. Políticas para proteger los activos

2. Guía para conocer el uso de las  políticas

3. Responsabilidades a cada usuario.

EXPLORACIONFase donde  se va  utiliza  la información recogida en la fase de

reconocimiento

Fase pasiva———————————–fase activa

1. escáner de red , trazado de rutas

2. escáner de host

3. escáner de puertos y servicios (ejecucion, escucha)

4. escaneo de manera sigilosa

5. Comandos del sistema operativo

6. vulnerabilidades

7. Base de datos (whois ripe )

Obtener1. software utilizado

2. versiones del sistema

3. Infraestructura en la red

4. Routers y cortafuegos

Ping, Fping, Hping, Xprobe,P0f, Nmap,analisis metadatos,

OSINT,traceroute,descubrimiento conDNS, dig

SEGURIDAD1. ejecutar los servicios y aplicaciones necesarias.

2. IDS, si el escaneo se realiza muy rápido puede ser detectado

3. Aplicar las actualizaciones a todos los paquetes que tenga

disponibles

EnumeraciónObtener más información sobre el objetivo ya identificado  y escoger

las más apropiadas para el acceso, en esta fase es donde el atacante

ya está en el objetivo

Obtener1. conexiones activas al sistema

2. peticiones directas (sistemas de seguridad)

Enumeración

1. Recursos de red

2. Recursos compartidos

3. Usuarios

4. Nombres de grupos

Acceso

 El medio de ataque:

Red inalámbrica

Internet

LAN.

ObtenerEl acceso en el objetivo

Recursos1. una  vulnerabilidad

2. Explote

Acceso secuestro de sesión.

ESCALAMIENTO

Lo que el atacante realizará después de obtener acceso a un sistema:

privilegios y derechos  en caso de que no sea administrador

En esta fase el intruso intentara obtener otras formas de acceso.

Obtener

1. agregar usuarios con altos privilegios

2. robar contraseñas de otros usuarios

Recursos1. sniffers

1. keyloggers

2. rootkits

3. troyanos

Un rootkit es un conjunto de herramientas que le permite al atacante

ocultar procesos, sesiones, conexiones

Eliminación del rastro

Fase a todas las acciones que realizará el atacante para cubrir su

rastro y poder incrementar el mal uso del sistema sin ser

detectado. Eliminación de  evidencia del ataque

Una fase opcional en la que puede incurrir el atacante es colocar

puertas-traseras

puertas traseras

Las puertas traseras son un método utilizado para regresar al sistema

sin volverlo a explotar.

1. estenografía

2. túneles en TCP. 

3.  

RECONOCIMIENTO EN PRÁCTICAComo se dijo en el flujo consiste en Localizar, obtener, reunir y

guardar  para la posterior exploración, muchos lo llaman vector de

ataque pues un vector lo que en si es es un ente con una magnitud y

una dirección, a partir de un  plano de referencia ósea la analogía es:

Hay dos puntos  el inicial y el final óseo

 Atacante ————————————– objetivo

El atacante parte de cero en el plano de referencia, el objetivo puede

ser uno de  los infinitos puntos que hay en el plano de referencia,

puede ser el mismo cero, ósea el atacante mismo.

Pero son mucha verdad, hay que escoger uno, en este caso

vamos a acotar el rango  y el dominio……… (“parece clase de pre

calculo “).

Como la acotamos?   Haciendo un análisis de requisitos y una

especificación  de lo que se quiere  …..(“¡ahora con ingeniería de

sistemas….!”)

Aquí lo que hacemos es identificar ese punto, pero igual el

atacante está en el punto cero, lo ideal es que la diferencia de ambos

tienda a cero ósea el atacante este en ese punto.

  Cuando se habla de vector de ataque lo que se quiere decir es la

identificación de ese punto “la dirección” y que tan lejos está de llegar

allí

“Magnitud”: después de identificado el punto ósea “que es o quien

es” se procede a hacer la arquitectura del plan para recoger

información, se comienza hacer diagramas en la cual se muestre como

y a donde hacer esta recolección teniendo el objetivo identificado, es

la “fase de arquitectura” Como:

1. información sobre el objetivo

2. listas de empleados y sus correos electrónicos.

3. Tecnología que emplean, software, hardware.

4. Rangos de direcciones IP

5. servicios disponibles

6. nombre de dominio

/*****Una ayuda útil INTERNET, los archivos desechados  los equipos

de cómputo que se formatearon rápido, los mismos

empleados…….entre otros.

Con respecto a los empleados muchos tienen conocimiento de

no dar información pero caen cuando el atacante se hace la víctima,

por ejemplo el atacante dice soy tal y no confió en usted, no lo logró

identificar? la verdadera víctima se identifica y a veces dice de más.

O por ejemplo el atacante sabe de la existencia de un amigo de la

víctima y sabe que no tiene una red social en donde la victima está,

por ejemplo Facebook, además sabe que no se han hablado desde

hace tiempo o está lejos,  pues el atacante hace una suplantación de

identidad y obtiene información. O aun peor se hace amigo de la

víctima con una foto y  nombre falso y comienza a chatear con él

O tiene el nombre de uno de los administradores de red o

sistemas  y busca que ha preguntado en los foros, lo ideal es que este

administrador en este escenario se nombre con NICK que nadie sepa

pero antes se deben hacer pruebas pues lo que se desea es que esto

sea lo más exitoso, por ejemplo se hace una verificación de aquella

información recogida, ósea si se obtuvo un número de teléfono se

hace una verificación de él. Después se hace una documentación para

la posterior fase,  que es la fase de exploración y donde se utiliza las

herramientas y técnicas

Un ejemplo con WHOIS en internet

Muestra mucha información verdad? Y en ciertos casos muestra los

name serve, donde podemos ver donde tiene alojado el sitio  entre

otros. Pero que podemos hacer con esto? buscar por internet el

nombre de la persona que registró el dominio y aparecerá estudios,

universidad, año de sus graduaciones, amigos en Facebook,

comentarios en foros, si tiene twitter todo lo que hace en el día, si

buscamos por imágenes en google lo podemos conocer, entre otras

cosas en todo caso se ha de recoger bastante información que nos

permita identificar ese punto  y la una magnitud que nos permitirá

saber que tan fácil o difícil será el costo.

 

 

EXPLORACIÓN EN PRÁCTICA

En esta fase nos basaremos de la fase anterior de la fase de

reconocimiento donde identificamos el objetivo, si seguimos el

esquema que planteé del plano cartesiano en esta fase el atacante

está en el mismo punto del objetivo pero sin tocar el punto, aquí lo que

se hace es recolectar información para tener acceso y poder estar

dentro del punto. Que podríamos hacer ahora? utilizar técnicas y

herramientas para lograrlo un ejemplo es el comando dig en linux con

la que tenemos información a partir de un dominio

Qué clase de información? la ip  publica con la que se utilizara para

hacer un escaneo de puertos con nmap en la foto siguiente hice una

práctica en la cual puse un registro tipo A que direccionaba a la ip

publica que tengo en este momento, esto en  el registro de dominio

xxxxxxxx , en el router que tengo en el punto de demarcación puse a

direccionar la entrada por el puerto 80 a una de las maquinas dentro

de la LAN

 

mi objetivo es este en la consola digito  dig   dominio.

Forma de ataque: y este también tiene dos puntos

Fase pasiva———————————--fase activa

Entre más se acerque a la fase activa más contacto habrá con los

dispositivos  del objetivo.

Ejemplo en los ataques pasivos, se intersecta, se averigua, se

copia en cambio en el activo se modifica, se suplanta, se altera otras

herramientas pueden ser traceroute, hping , utilizando sniffer entre

otros.

En fin en esta fase se intentará recoger toda la información

posible como para decir, lo tenemos rodeado.

  ENUMERACION EN PRACTICA: En esta fase ya el objetivo 

identificado está rodeado, lo que hay que hacer es estar en el punto

del objetivo, ósea entrar al sistema, bueno sigilosamente, por eso todo

el análisis previo. Esta fase es la más compleja, pues en esta fase es

donde se identificará en que parte de ese punto que estamos

rodeando es el más apto para lograr ingresar, ……/***osea como

lograr tocar el punto***/……

En herramientas como back track lo llaman penetración del

sistema, en esta fase se podrían hacer uso de dos formas  teniendo en

cuenta  el flujo  de seguridad, /***** por eso es tan importante conocer

esto,,, en comunidades lo  llaman hacking ético. Aunque

lamentablemente hay forajidos, pero forajido son los que andan

huyendo de la justicia? …..si es cierto pero en mi criterio la  realidad

de  justo en este escenario  es que se utilice esto como pasos para

asegurar no    para  hacer otras cosas, entonces si huyes de esto , que

eres? ***/

 Una de las formas es conseguir o crear  un exploit  que

aprovecha una vulnerabilidad de un servicio que tal vez se logró

conseguir en la fase anterior, una herramienta puede ser nessus en

windows como RETINA, Metasploit framework. Otra es obteniendo los

password, como?  Por ingeniería social, por habilidad en la consola,

por algunas herramientas como HYDRA, BRUTUS, en windows como

john the riper , cain & abel, userinfo, userdump, entre otros o hacer

uso de keylooger que graban todo lo que un usuario digita en el

teclado.