AD (728x60)

viernes, 5 de diciembre de 2014

Seguridad - Técnicas comunes de accesos no autorizados a sistemas informáticos (hacking)

Share & Comment

Hacker es un termino muy utilizado en nuestros días, principalmente por el temor que los datos  importantes proporcionados en la web caigan en malas manos, especialmente el miedo abunda en sitios concurridos como las redes sociales. También se habla del término Cracker aunque en menor medida; estos términos suelen emplearse de forma inadecuada.

¿Cuál es la diferencia entre los dos términos?
Fácil, la diferencia radica en sus valores morales, sociales y políticos. En la cultura underground del Hacking, Hacker es una persona con elevados conocimientos informáticos independientemente de la finalidad con que los use. Mientras que Cracker es aquel individuo que se especializa en saltar las protecciones anticopia de software, de ahí el nombre crack para definir los programas que eliminan las restricciones en las versiones de demostración de software comercial. 

En pocas palabras el hacker (auditor de redes) es una persona contraria al cracker, ya que actúa bajo argumentos éticos para encontrar agujeros de seguridad con la finalidad de evitar intrusiones, mientras que el hacker busca estos errores de seguridad para sus fines maliciosos.

El presente blog trata de los principales técnicas de accesos ilícitos a sistemas informáticos.

¿Por qué es importante definir los términos de hacker y cracker además de las técnicas de intrusión?

Básicamente por que las leyes en cuanto a los delitos informáticos se encuentran en pañales, tanto así que algunos crackers han quedado libres después de ser capturados por supuestos actos ilícitos ya que no se encuentran bases normativas correspondientes al acto. Actualmente las leyes en cuanto a delitos informáticos se han implementado y sentado las bases legales, a pesar de esto la ley no distingue entre términos, si eres un hacker que actúa con fines éticos o un cracker con malas intenciones, serás juzgado como delincuente cibernético. 
Si alguien decide demandar por ejemplo por negligencia en el trato de datos por un error de seguridad (intrusión y robo o perdida de datos), es viable, por lo tanto como personas en conocimiento de TICs es nuestra responsabilidad conocer ataques básicos para estar preparados.



Contenido

1. Cracks Informáticos
2. Bots
       2.1  ¿Cómo identificarlos?
       2.2  ¿Cómo funcionan?
3. Phishing
       3.1  ¿Cómo identificar ataques?
4. Pharming
       4.1  ¿Cómo funciona?
5. Spam
       5.1  ¿Qué características tiene?
       5.2  ¿Cuál es su forma de distribución?
6. Ciber-bullying (ladrones online)
7. Typo-squatting
       7.1  ¿Cómo se presenta?
8. Cybersquatting
       8.1  ¿Por qué motivos se realiza Cybersquatting?
9. Brandjacking
       9.1  ¿Cómo evitarlo?
10. Backdoor
       10.1  ¿Cómo evitar incidentes por Backdoor?
11. RootKit
       11.1  ¿Cómo funcionan?
       11.2  ¿Cómo evitar rootkits?
Conclusiones

1.    Cracks Informáticos

Es un parche creado sin autorización de la empresa o desarrollador que crea cierto programa, este parche modifica la funcionalidad del software original.

A causa de la piratería las grandes empresas crean restricciones sobre las copias que se distribuyen con la finalidad de prevenir la copia indiscriminada de sus productos de software, ahí es donde los cracks burlan estas restricciones.

Algunas de las finalidades de los cracks son:
  •  Activar software gratuitamente. Esto se presenta cuando para validar la compra de un producto de software se utiliza una llave o número de serie, para esto el crack regularmente por medio de un keygen, hace que una clave falsa funcione o en determinados casos hasta eliminar el paso de verificación del número de serie.
  • Autenticar software fraudulento. se utiliza para impedir que un software instalado ilegalmente sea detectado como fraudulento.
  • Liberar limitaciones o periodos de prueba. Esto aplica regularmente al shareware, un tipo de software que proporciona una versión de prueba, pasando de cierto tiempo caduca, bloqueando ciertas funcionalidades limitando al usuario o en determinados casos mostrando mensajes de que el periodo de prueba ha terminado.

2.    Bots

Son programas maliciosos que permiten al atacante tomar el control de un equipo. A los bots también se les conoce con el nombre de “robots web” y por lo regular forman parte de una red de maquinas infectadas llamadas botnet, comúnmente se componen de computadoras de todo el mundo.

Muchos llaman a los equipos infectados “Zombis” debido a que obedecen a ordenes de su amo(el atacante). Los delincuentes cibernéticos que controlan estos bots son cada vez más numerosos. La mayoría de atacantes al tener una red zombi y contar con recursos de un gran número de equipos, pueden llevar a acabo ataques que requieren gran capacidad de procesamiento como ataques de denegación de servicio (DOS) o ataques de fuerza bruta entre otros.

2.1 ¿Cómo identificarlos?

El peligro de estos programas radican en la detección de los mismos ya que el usuario difícilmente se da cuenta que su equipo esta infectado,  los indicios de su presencia pueden ser:
  • Un bot puede hacer que su equipo funcione más lento (ya que se utilizan recursos con fines perversos)
  • Muestre mensajes misteriosos
  • Numerosas fallas en el equipo

2.2 ¿Cómo funcionan?

Estos programas se infiltran de manera sigilosa de muchas maneras, se distribuyen en toda la internet buscando equipos vulnerables y desprotegidos, cuando infectan un equipo informan a su creador, ahora estarán a la espera de ordenes, su objetivo principal.

Entre las tareas que desempeñan comúnmente están:

Enviar
Robar
DOS
Fraude mediante clics
Envían
- spam
- virus
- software espía
Roban información privada y personal y se la comunican al usuario malicioso:
- números de tarjeta de crédito
- credenciales bancarias
- otra información personal y confidencial
Lanzan ataques de denegación de servicio (DoS) contra un objetivo específico. Los criminales cibernéticos extorsionan a los propietarios de los sitios web por dinero, a cambio de devolverles el control de los sitios afectados.

Sin embargo, los sistemas de los usuarios diarios son el objetivo más frecuente de estos ataques, que sólo buscan molestar.
Los estafadores utilizan bots para aumentar la facturación de la publicidad web al hacer clic en la publicidad de Internet de manera automática.

3.    Phishing

Phishing o suplantación de identidad es un término informático para referirse a que una persona (Phisher) se hace pasar por otra o por una empresa de confianza en una comunicación electrónica aparentemente oficial, comúnmente utilizan sitios Web falsos ,correo electrónico (spam), algún sistema de mensajería instantánea o incluso utilizando también llamadas telefónicas.

3.1 ¿Cómo identificar ataques?

  • Los ladrones de identidad, simulan ser empresas legítimas, pueden utilizar el correo electrónico para solicitar información personal e inducir a los destinatarios a responder a través de sitios Web maliciosos.
  • Suelen utilizar tácticas alarmistas o solicitudes urgentes para tentar a los destinatarios a responder.
  • Los sitios de robo de identidad parecen sitios legítimos, ya que tienden a utilizar las imágenes de copyright de los sitios legítimos.
  • Las solicitudes de información confidencial por correo electrónico o mensajería instantánea, por lo general, no son legítimas.
  • Los mensajes fraudulentos generalmente no están personalizados y es posible que compartan propiedades similares, como detalles en el encabezado y en el pie de página.

El phising puede considerarse como el arte del engaño es aquí donde entra el termino ingeniería social.

4.    Pharming

Es la explotación de una vulnerabilidad de software encontrada en los servidores DNS (Domain Name System) que permite al atacante redirigir el tráfico de una pagina que se solicita al navegador web a otra maquina distinta.
El objetivo es que al ser redireccionado al sitio de interés del atacante se robe información importante a través de un sitio falso (Phishing).

4.1 ¿Cómo funciona?

Todas las computadoras tiene una dirección IP que ayuda a identificar a un equipo, es un identificador para saber a que equipo conectarse. La IP (en su versión 4) consiste en 4 octetos (4 grupos de 8 dígitos binarios) de 0 a 255 separados por un punto (ej: 127.0.0.1).

Debido a la dificultad de memorizar la IP surgen los servidores DNS de tal forma que en vez de recordar la IP se sugieren los Nombres de Dominio.
Ejemplo:
Cuando entramos a: www.google.com hay un servidor DNS que remplaza la IP del servidor de Google que la IP es: 74.125.227.16 si se coloca esta ip en el navegador nos daremos cuenta que es el mismo sitio.

Un ataque de Pharming cambiaría la ip asociada a www.google.com y la redireccionaría por ejemplo a un servidor web instalado en 192.168.1.1 donde al usuario le espera una copia del sitio de Google, al ingresar búsquedas el atacante sabría que buscas en Google.
Es un ejemplo digámoslo inocente, pero que pasa si en vez del sitio de Google es un banco.

5.    Spam

Se define SPAM a los mensajes no solicitados (correo basura), regularmente de contenido publicitario, enviados en forma masiva. La vía más utilizada es la basada en el correo electrónico pero puede presentarse por programas de mensajería instantánea o por teléfono celular.

5.1 ¿Qué características tiene?

  • La dirección que aparece como remitente del mensaje no resulta conocida para el usuario, y es habitual que esté falseada.
  • El mensaje no suele tener dirección Reply.
  • Presentan un asunto llamativo.
  • El contenido es publicitario: anuncios de sitios web, fórmulas para ganar dinero fácilmente, productos milagro, ofertas inmobiliarias, o simplemente listados de productos en venta en promoción.
  • La mayor parte del spam está escrito en inglés y se origina en Estados Unidos o Asia, pero empieza a ser común el spam en español.

5.2 ¿Cuál es su forma de distribución?

  • Spam: enviado a través del correo electrónico.
  • Spim: específico para aplicaciones de tipo Mensajería Instantánea (MSN Messenger, Yahoo Messenger, etc).
  • Spit: spam sobre telefonía IP. La telefonía IP consiste en la utilización de Internet como medio de transmisión para realizar llamadas telefónicas.
  • Spam SMS: spam destinado a enviarse a dispositivos móviles mediante SMS (Short Message Service).
El Spam es un fenómeno que día a día aumenta y como no, si en cada sitio que nos registramos nos piden cuenta de correo y en los términos y condiciones (que nadie lee) especifican que se autoriza el envío de contenido publicitario entre otras formas de spam.

6.    Ciber-bullying (ladrones online)

Ciberbullying es el uso de los medios electrónicos como el Internet, telefonía móvil y videojuegos en línea principalmente, con el fin de ejercer el acoso psicológico entre iguales. Un tema bastante extenso y tocado con mucha frecuencia en una sociedad de información.
Este tipo de acoso se presenta para ejercer acoso y conseguir contraseñas para entrar a los sistemas, es otro de los medios que utilizan los atacantes para lograr irrumpir en los sistemas.

7.    Typo-squatting

También llamado secuestro de URL o URL falsa, es una forma de ciberataque por medio del cual hace uso de los errores tipográficos de los usuarios al escribir una URL (dirección de página web) para redireccionarlos a una URL falsa.
El tipo-squatting son formas de cybersquatting y brandjacking.

7.1 ¿Cómo se presenta?

  • Typosquatter URL suele presentarse en 4 tipos:
  • Falta de ortografía, o la ortografía idioma extranjero, del lugar previsto: exemple.com
  • Un error ortográfico basado en errores de escritura: xample.com o examlpe.com
  • Un nombre de dominio que sea su enunciado diferente: examples.com
  • Una diferente dominio de nivel superior : example.org

8.    Cybersquatting

Es un mecanismo mediante el cual los ciberdelincuentes  para registrar un dominio que ostenta un titulo mejor, como empresas legalmente establecidas, con la finalidad de desviarlos hacia otro sitio, es decir engañar mediante URLs falsas.

Un ejemplo de ello es el caso de Nissan mexicana, donde se registra el dominio nissanmexicana.com.mx con el fin de desviar a los usuarios a un sitio que tenia contenido inadecuado, pornografía, por lo cual la empresa Nissan decide tomar medidas argumentando que este dominio debe pertenecer a una empresa la cual esta legalmente establecida y que tiene un registro oficial desde hace muchos años, siendo el argumento principal el registro o uso del nombre de dominio de mala fe. Este caso se presenta a un órgano mediador OPMPI (Organización Mundial de la Propiedad Intelectual) apoyándose de UDRP del ICANN. Por obvias razones el fallo se dio a favor de la empresa de automóviles japonesa.

Más información aquí del caso Nissan Mexicana (Caso No. DMX2009-0004).

8.1 ¿Por qué motivos se realiza Cybersquatting?

  • Con el fin de tratar de vender el dominio typo de nuevo al dueño de la marca
  • Para "aparcar" el dominio typo y obtén ingresos de pago por clic de faltas de ortografía de navegación directos del dominio destinado
  • Para redirigir el typo-tráfico a un competidor
  • Para redirigir el typo-tráfico de nuevo a la marca en sí, sino a través de un enlace de afiliado, así ganando comisiones de programa de afiliados del propietario de la marca.
  • Como phishing esquema para imitar el sitio de la marca.
  • Para instalar la unidad por el malware o de generación de ingresos publicitarios en los dispositivos de los visitantes
  • Para cosechar mensajes de correo electrónico misaddressed error enviados al dominio typo
  • Para bloquear el uso malévolo del dominio typo por otros
  •  Para exponer a los usuarios a la pornografía en Internet .
Para ello el ICANN toma medidas con Trademark Clearinghouse, un mecanismo mediante el cual las empresas pueden proteger sus nombres de dominio, por su valor de marca, esto aunado los nuevos nombres de dominio que presentan una oportunidad para los titulares de marca.

Video referente a los nuevos dominios y al Trademark clearinghouse



9.    Brandjacking

Es una actividad mediante la cual una persona se adjudica el valor de marca de una empresa, adquiriendo o asumiendo la identidad en línea de la entidad a los efectos de la adquisición de esa persona o de negocios.
Aunque tiene relación con Cybersquatting y Phishing el brandjacking se desarrolla  especialmente para un ambiente político, una celebridad o negocio.
Brandjacking combina las nociones de branding y hijacking (ocupación).

Branding es empleado en mercadotecnia que hace referencia al proceso de hacer y construir una marca mediante la administración estratégica del conjunto total de activos vinculados en forma directa o indirecta al nombre y/o símbolo (logotipo) que identifican a la marca influyendo en el valor de la marca, tanto para el cliente como para la empresa propietaria de la marca.

9.1 ¿Cómo evitarlo?

Algunas medidas para evitarlo son:
  • Registro anticipado de marcas y submarcas como nombres de usuario en sitios de medios sociales.
  • Mantenerse vigilantes
  • El uso de las redes sociales y los medios de comunicación generales instrumentos de seguimiento para buscar pruebas de la infracción.
  • Acciones legales contra los que se ven como responsable de la infracción.
Ejemplo:
En el 2013 Coca Cola sufre de un tipo de brandjacking en el comercial, "The Bitter Taste of Sugar" (el amargo sabor del azucar), por Oxfam (Oxfam Novib Netherlands) haciendo una parodia de su comercial de Coca Cola Zero, llamando la atención sobre sus prácticas empresariales insostenibles.

Ver comercial 


10. Backdoor

También conocida con el nombre de trap door (puerta secreta), es una sección oculta de un sistema para acceder a el en casos excepcionales cuando es intencional, cuando no lo es supone un agujero de seguridad, permitiendo el acceso a atacantes que descubren estas puertas traseras.

Los más conocidos son Back Orifice y NetBus, dos de los primeros backdoors, que hasta nuestros días siguen vigentes aunque en menor cantidad dado que la mayoría de los programas antivirus los detectan.

Un ejemplo muy común en los sistemas es una segunda opción de login con una contraseña master.

10.1     ¿Cómo evitar incidentes por Backdoor?

Es imposible cubrir al 100% este problema, ya que a veces no se tiene el control de los errores de las tecnologías que se utilizan para desarrollar los sistemas, con la agilidad de los ciberdelincuentes cada vez se descubren más agujeros de seguridad, algunas recomendaciones serian.
  • Evitar el uso de métodos alternos al login, tener controlado el acceso con ayuda del desarrollador, ya que las contraseñas podrían caer en manos equivocadas.
  • Hacer análisis de puertos abiertos que representen una amenaza.
  • Planear estratégicas de desarrollo mediante las cuales se consideren posibles vulnerabilidades para que no estén presente es en el sistema.

11. RootKit

Es un conjunto de herramientas utilizadas por intrusos informáticos para ingresar ilícitamente a un sistema informático. Estas herramientas sirven para esconder los procesos y archivos que permiten al intruso mantener el acceso al sistema, a menudo con fines maliciosos.

Por ejemplo, el rootkit puede esconder una aplicación que lance una consola cada vez que el atacante se conecte al sistema a través de un determinado puerto.

11.1     ¿Cómo funcionan?

Rootkit encubren procesos maliciosos en el sistema, por ejemplo si se descubre un backdoor con finalidad de espionaje, el rootkit ocultará los puertos abiertos que delaten la comunicación; o si hay un sistema para enviar spam, ocultará la actividad del sistema de correo.

Si el administrador del sistema intenta acceder a logs o monitorear en general los procesos que se ejecutan el rootkit oculta la información o la disfraza mostrando información falsa de lo que realmente pasa.
De la misma forma si el antivirus intenta detectar actividad maliciosa el rootkit mandará información falsa,.

Importante: Los rootkits, al estar diseñados para pasar desapercibidos, no pueden ser detectados.

11.2     ¿Cómo evitar rootkits?

Para evitar el uso de estas herramientas no basta con vigilar procesos, archivos de disco, entre otras medidas de seguridad, sino ir más allá, vigilar lo que tienen que hacer los procesos y lo que realmente están haciendo.

Instalar herramientas anti-rootkits ayudan si se aplican de una manera correcta.

Conclusiones

Como es de esperar, el conocer de los mecanismos de acceso no autorizados a sistemas informáticos tienden a preocupar a muchas empresas, ya que el mayor capital de una empresa es su información y su valor como empresa, por lo que nosotros como encargados de la administración de sistemas, desarrollo y monitoreo tenemos la responsabilidad de asegurar en la medida de lo posible los recursos tecnológicos de una empresa, es tan importante que una falla puede tipificarse como un delito informático, tratándose como negligencia. Es un mundo hablar de legislación telemática ya que esta área se encuentra en pañales y ni siquiera los órganos reguladores tienen perspectiva de todo lo que pasa en la red oculta, los ciberdelincuentes llevarán un paso adelante, no podemos garantizar al 100% que un sistema se encuentra seguro, ni siquiera conectándose de internet, lo que podemos hacer es minimizar el impacto de ataques, teniendo un plan de contingencia y mitigación de riesgos.


Tags: , , , , , , , , , ,

Written by

Información sobre tecnología: -Programación multiplataforma(aplicaciones de escritorio, web y móviles) -Ingeniería de software -Redes -Telemática

0 comentarios:

Publicar un comentario

 
Copyright © Geek Star Blue | Designed by Templateism.com