MÉTODOS Y HERRAMIENTAS DE ATAQUE
En los primeros años, los ataques involucraban poca sofisticación técnica. Los insiders
(empleados disconformes o personas externas con acceso a sistemas dentro de la empresa)
utilizaban sus permisos para alterar archivos o registros. Los outsiders (personas que atacan
desde afuera de la ubicación física de la organización) ingresaban a la red simplemente
averiguando una password válida. A través de los años se han desarrollado formas cada vez
más sofisticadas de ataque para explotar "agujeros" en el diseño, configuración y operación
de los sistemas. Esto permitó a los nuevos atacantes tomar control de sistemas completos,
produciendo verdaderos desastres que en muchos casos llevo a la desaparición de aquellas
organizaciones o empresas con altísimo grado de dependencia tecnológica (bancos, servicios
automatizados, etc).
Estos nuevos métodos de ataque han sido automatizados, por lo que en muchos casos sólo
se necesita conocimiento técnico básico para realizarlos. El aprendiz de intruso tiene acceso
ahora a numerosos programas y scripts de numerosos "hacker" bulletin boards y web sites,
donde además encuentra todas las instrucciones para ejecutar ataques con las herramientas
disponibles.
Los métodos de ataque descriptos a continuación están divididos en categorías generales
que pueden estar relacionadas entre sí, ya que el uso de un método en una categoría permite
el uso de otros métodos en otras. Por ejemplo: después de crackear una password, un intruso
realiza un login como usuario legítimo para navegar entre los archivos y explotar vulnerabilidad
es del sistema. Eventualmente también, el atacante puede adquirir derechos a lugares que le
permitan dejar un virus u otras bombas lógicas para paralizar todo un sistema antes de huir.
EAVESDROPPING Y PACKET SNIFFING
Muchas redes son vulnerables al eavesdropping, o la pasiva intercepción (sin modificación) del tráfico de red. En Internet esto es realizado por packet sniffers, que son programas que monitorean los paquetes de red que estan direccionados a la computadora donde estan instalados. El sniffer puede ser colocado tanto en una estacion de trabajo conectada a red, como a un equipo router o a un gateway de Internet, y esto puede ser realizado por un usuario con legítimo acceso, o por un intruso que ha ingresado por otras
vías. Existen kits disponibles para facilitar su instalación.
Este método es muy utilizado para capturar loginIDs y passwords de usuarios, que generalmente viajan claros (sin encriptar) al ingresar a sistemas de acceso remoto (RAS). También son utilizados para capturar números de tarjetas de crédito y direcciones de e-mail entrantes y salientes. El análisis de tráfico puede ser utilizado también para determinar relaciones entre organizaciones e individuos.
SNOOPING Y DOWNLOADING
Los ataques de esta categoría tienen el mismo objetivo que el sniffing, obtener la información sin modificarla. Sin embargo los métodos son diferentes. Además de interceptar el tráfico de red, el atacante ingresa a los documentos, mensajes de e-mail y otra información guardada, realizando en la mayoría de los casos un downloading de esa información a su propia computadora.
El Snooping puede ser realizado por simple curiosidad, pero también es realizado con fines de espionaje y robo de información o software. Los casos mas resonantes de este tipo de ataques fueron : el robo de un archivo con mas de 1700 números de tarjetas de crédito desde una compañía de música
mundialmente famosa, y la difusión ilegal de reportes oficiales reservados de las Naciones Unidas, acerca de la violación de derechos humanos en algunos países europeos en estado de guerra.
TAMPERING O DATA DIDDLING
Esta categoría se refiere a la modificación desautorizada a los datos, o al software instalado en un sistema, incluyendo borrado de archivos. Este tipo de ataques son particularment e serios cuando el que lo realiza ha obtenido derechos de administrador o supervisor, con la capacidad de disparar cualquier comando y por ende alterar o borrar cualquier información que puede incluso terminar en la baja total del sistema en forma deliverada. O aún si no hubo intenciones de ello, el administrador posiblemente necesite dar de baja por horas o días hasta chequear y tratar de recuperar aquella informacion que ha sido alterada o borrada.
Como siempre, esto puede ser realizado por insiders o outsiders, generalmente con el propósito de fraude o dejar fuera de servicio un competidor.
Son innumerables los casos de este tipo como empleados (o externos) bancarios que crean falsas cuentas para derivar fondos de otras cuentas, estudiantes que modifican calificaciones de examenes, o contribuyentes que pagan para que se les anule la deuda por impuestos en el sistema municipal.
Múltiples web sites han sido víctimas del cambio de sus home page por imágenes terroristas o humorísticas, o el reemplazo de versiones de software para download por otros con el mismo nombre pero que incorporan código malicioso (virus, troyanos).
La utilización de programas troyanos esta dentro de esta categoría, y refiere a falsas versiones de un software con el objetivo de averiguar información, borrar archivos y hasta tomar control remoto de una computadora a través de Internet como el caso de Back Orifice y NetBus, de reciente aparición.
SPOOFING
Esta técnica es utilizada para actuar en nombre de otros usuarios, usualmente para realizar tareas de snoofing o tampering. Una forma comun de spoofing, es conseguir el nombre y password de un usuario legítimo para, una vez ingresado al sistema, tomar acciones en nombre de él, como puede ser el envío de falsos e-mails.
El intruso usualmente utiliza un sistema para obtener información e ingresar en otro, y luego utiliza este para entrar en otro, y en otro. Este proceso, llamado Looping, tiene la finalidad de evaporar la identificacion y la ubicación del atacante. El camino tomado desde el origen hasta el destino puede tener muchas estaciones, que exceden obviamente los límites de un país. Otra consecuencia del looping es que una compañía o gobierno pueden suponer que estan siendo atacados por un competidor o una agencia de gobierno extranjera, cuando en realidad estan seguramente siendo atacado por un insider, o por un estudiante a miles de km de distancia, pero que ha tomado la identidad de otros.
El looping hace su investigación casi imposible, ya que el investigador debe contar con la colaboración de cada administrador de cada red utilizada en la ruta, que pueden ser de distintas jurisdicciones .
Los protocolos de red también son vulnerables al spoofing. Con el IP spoofing, el atacante genera paquetes de Internet con una dirección de red falsa en el campo From, pero que es aceptada por el destinatario del paquete.
El envío de falsos e-mails es otra forma de spoofing permitida por las redes. Aquí el atacante envía a nombre de otra persona e-mails con otros objetivos. Tal fue el caso de una universidad en USA que en 1998 debió reprogramar una fecha completa de examenes ya que alguien en nombre de la secretaría había cancelado la fecha verdadera y enviado el mensaje a toda la nómina (163 estudiantes).
Muchos ataques de este tipo comienzan con ingeniería social, y la falta de cultura por parte de los usuarios para facilitar a extraños sus identificacion es dentro del sistema. Esta primera información es usualmente conseguida a través de una simple llamada telefónica.
JAMMING o FLOODING
Este tipo de ataques desactivan o saturan los recusos del sistema. Por ejemplo, un atacante puede consumir toda la memoria o espacio en disco disponible, asi como enviar tanto tráfico a la red que nadie más puede utilizarla.
Muchos ISPs (proveedores de Internet) han sufrido bajas temporales del servicio por ataques que explotan el protocolo TCP. Aquí el atacante satura el sistema con mensajes que requieren establecer conección. Sin embargo, en vez de proveer la dirección IP del emisor, el mensaje contiene falsas direcciones IP (o sea que este ataque involucra tambien spoofing). El sistema responde al mensaje, pero como no recibe respuesta, acumula buffers con información de las conecciones abiertas, no dejando lugar a las conecciones legítimas.
Muchos host de Internet han sido dados de baja por el "ping de la muerte", una versión-trampa del comando ping. Mientras que el ping normal simplemente verifica si un sistema esta enlazado a la red, el ping de la muerte causa el reboot o el apagado instantáneo del equipo.
Otra acción común es la de enviar millares de e-mails sin sentido a todos los usuarios posibles en forma contínua, saturando los distintos servers destino.
CABALLOS DE TROYA
Consiste en introducir dentro de un programa una rutina o conjunto de instrucciones, por supuesto no autorizadas y que la persona que lo ejecuta no conoce, para que dicho programa actúe de una forma diferente a como estaba previsto (P.ej. Formatear el disco duro, modificar un fichero, sacar un mensaje, etc.).
BOMBAS LOGICAS
Este suele ser el procedimiento de sabotaje mas comúnmente utilizado por empleados descontentos. Consiste en introducir un programa o rutina que en una fecha determinada destruira, modificara la información o provocara el cuelgue del sistema.
INGENIERA SOCIAL
Básicamente convencer a la gente de que haga lo que en realidad no debería. Por ejemplo llamar a un usuario haciéndose pasar por administrador del sistema y requerirle la password con alguna excusa convincente. Esto es común cuando en el Centro de Computo los administradore s son amigos o conocidos.(el mejor para mi)
fuente:elhackergt