Ataques a nuestra información

A continuación un artículo que es el fruto de información recopilada de la investigación de temas de seguridad en internet.

¿ Cuales son nuestras amenazas?

Hoy es muy importante conocer los métodos más comunes que se utilizan para generar ataques a la seguridad informática (confidencialidad, integridad y disponibilidad de la información) de una empresa o personas con oficinas en su casa. Esto nos permite saber acciones podemos implementar para nuestra defensa, ya que saber cómo nos pueden atacar (y desde donde), también es tan importante saber con que soluciones contamos para prevenir, detectar y reparar un siniestro de este tipo. Sin olvidar que éstas últimas siempre son una combinación de herramientas que tienen que ver con tecnología y recursos humanos (políticas de seguridad, capacitación).
Los ataques pueden servir a varios objetivos incluyendo fraude, extorsión, robo de información, venganza o simplemente el desafío de penetrar un sistema. Esto puede ser realizado por empleados internos que abusan de sus permisos de acceso, o por atacantes externos que acceden remotamente vía Internet o interceptan el tráfico de red.
A esta altura del desarrollo de la Tecnología de la Información y Comunicaciones (TIC), los piratas informáticos ( hakers) ya no son novedad. Los hay prácticamente desde que surgieron las redes digitales, desde los años 70. Sin duda a medida que el acceso a las redes de comunicación electrónica se fue generalizando, también se fue multiplicando el número de quienes ingresan "ilegalmente" a ellas, con distintos fines.
Los "Hakers", por lo general son jóvenes avezados en temas informáticos, se lanzan desafíos para quebrar los programa de seguridad, capturar las claves de acceso a computadoras remotas y utilizar sus cuentas para navegar por Internet. De esta forma ingresar a las redes de datos de las empresas, sistemas de reservas aéreas, con el fin demostrar sus conocimientos o simplemente lucrar con esta información.

Los Administradores de la seguridad informática de las empresas, deben de disponer de herramientas para controlar que "todo vaya bien", si los procesos son los normales o si hay movimientos sospechosos, por ejemplo que un usuario esté recurriendo a vías de acceso para las cuales no está autorizado o que alguien intente ingresar repetidas veces con claves erróneas que esté probando. Todos los movimientos del sistema son registrados en archivos ( logs) que generan los dispositivos de protección denominados Firewall ( Corta fuego), que los operadores deben revisan diariamente.

¿ Que es un Firewall?

Existen muchas y muy potentes herramientas de cara a la seguridad de una red informática. Una de las maneras drásticas de no tener invasores es la de poner murallas. Los mecanismos más usados para la protección de la red interna de otras externas son los firewalls o cortafuegos. Estos
tienen muchas aplicaciones, entre las más usadas está: Packet filter (filtro de paquetes). Se basa en el tratamiento de los paquetes IP a los que aplica unas reglas de filtrado que le permiten discriminar el tráfico según nuestras indicaciones.

En otras palabras, un firewall es un sistema o un grupo de sistemas que decide que servicios pueden ser accesados desde el exterior (Internet, en este caso) de un red privada, por quienes pueden ser ejecutados estos servicios y también que servicios pueden correr los usuarios de la intranet hacia el exterior (Internet).
Para realizar esta tarea todo el trafico entre las dos redes tiene que pasar a través de él. El firewall solo dejar pasar el trafico autorizado desde y hacia el exterior. No se puede confundir un firewall con un router (enrutador), un firewall no direcciona información (función que si realiza el router), el firewall solamente filtra información. Desde el punto de vista de política de seguridad, el firewall delimita el perímetro de defensa y seguridad de la organización. El diseño de un firewall, tiene que ser el producto de una organización conciente de los servicios que se necesitan, además hay que tener presentes los puntos vulnerables de toda red, los servicios que dispone como públicos al exterior de ella (WWW, FTP, telnet, entre otros) y conexiones por módem (dial-in módem calling).

¿ Que beneficios tiene instalar un firewall?

Los firewalls manejan el acceso entre dos redes, si no existiera todos los hosts de la intranet estarían expuestos a ataques desde hosts remotos en Internet. Esto significa que la seguridad de toda la red, estaría dependiendo de que tan fácil fuera violar la seguridad local de cada maquina interna.
El firewall es el punto ideal para monitorear la seguridad de la red y generar alarmas ( logs) de intentos de ataque, el administrador de la red podrá regularmente revisar estas alarmas o no, la decisión tomada por este no cambiaría la manera de operar del firewall.
Otra causa que ha hecho que el uso de firewalls se halla convertido en uso casi que imperativo es el hecho que en los últimos años en Internet han entrado en crisis el numero disponible de direcciones IP, esto ha hecho que las intranets adopten direcciones CIRD (o direcciones sin clase), las cuales salen a Internet por medio de un NAT (Network address traslator), y efectivamente el lugar ideal y seguro para alojar el NAT ha sido el firewall.
Los firewalls también han sido importantes desde el punto de vista de llevar las estadísticas del ancho de banda "consumido" por el tráfico de la red, y que procesos han influido mas en ese tráfico, de esta manera el administrador de la red puede restringir el uso de estos procesos y economizar o aprovechar mejor ancho de banda de salida a Internet.
Finalmente, los firewalls también son usados para albergar los servicios WWW y FTP de la intranet, pues estos servicios se caracterizan por tener interfaces al exterior de la red privada y se ha demostrado que son puntos vulnerables.

¿ Que limitación presenta un firewall?

La limitación más grande que tiene un firewall sencillamente es el hueco que no se tapa y que, es descubierto por un hacker. Los firewalls no son sistemas inteligentes, ellos actúan de acuerdo a parámetros introducidos por su administrador, por ende si un paquete de información no se encuentra dentro de estos parámetros como una amenaza de peligro simplemente lo dejara pasar. Pero este no es lo más peligroso, lo verdaderamente peligroso es que ese hacker deje "back doors" es decir abra un hueco diferente ( habilite algun puerto lógico) y borre las pruebas o indicios del ataque original.
Otra limitación es que el firewall "no es contra humanos", es decir que si un hacker logra entrar a la organización y descubrir passwords o se entera de los huecos del firewall y difunde la información, el firewall no se dará cuenta.
Es claro que el firewall tampoco provee de herramientas contra la filtración de software o archivos infectados con virus.

Debido a estas limitaciones, la administración de un Firewall es fundamental y tiene que estar en manos expertas. El adminstrador debe velar de que las póliticas definidas sean coherentes con las necesidades de protección que la empresa de hoy requiere. Por otro lado también debe existir una preocupación por las actualizaciones de los sistemas operativos de estos dispositivos con el objeto de disminuir las vulnerabilidades que puedan aparecer en el ámbito informático.

¿ Que podría hacer un hacker dentro de mi red?

Si el intruso logra penetrar el perímetro de seguridad del sistema tiene muchas opciones posibles:
Puede intentar destruir las evidencias del asalto y crear nuevos huecos de seguridad conocidos como "back doors" para seguir accesando por ellos.
El hacker también puede instalar paquetes olfateadores "sniffers" que incluyen Caballos de Troya que se ocultan en el sistema con el fin de recolectar información interna de la red que le permita al hacker accesarla de diferentes formas. Por lo general estos paquetes sniffers coleccionan logins y passwords olfateando los puertos de comunicaciones para telnet y ftp.
Si el hacker logra apoderarse de un acceso privilegiado como por ejemplo el del root o el de un super usuario, podrá leer el correo, apoderarse de información, secuestrar información, buscar archivos privados y destruir o cambiar datos importantes.

¿ Que tipo de ataque existen?

Algunos ataques más conocidos son:

SNOOPING Y DOWNLOADING

Los ataques de esta categoría tienen como objetivo obtener la información sin modificarla. Sin embargo los métodos son diferentes. Además de interceptar el tráfico de red, el atacante ingresa a los documentos, mensajes de e-mail y otra información guardada, realizando en la mayoría de los casos un downloading de esa información a su propia computadora. El Snooping puede ser realizado por simple curiosidad, pero también es realizado con fines de espionaje y robo de información o software.

TAMPERING O DATA DIDDLING

Esta categoría se refiere a la modificación desautorizada a los datos, o al software instalado en un sistema, incluyendo borrado de archivos. Este tipo de ataques son particularmente serios cuando el que lo realiza ha obtenido derechos de administrador o supervisor, con la capacidad de disparar cualquier comando y por ende alterar o borrar cualquier información que puede incluso terminar en la baja total del sistema en forma deliberada.
La utilización de programas troyanos esta dentro de esta categoría, y refiere a falsas versiones de un software con el objetivo de averiguar información, borrar archivos y hasta tomar control remoto de una computadora a través de Internet como el caso de Back Orifice y NetBus.

SPOOFING

Esta técnica es utilizada para actuar en nombre de otros usuarios, usualmente para realizar tareas de tampering. Una forma común de spoofing, es conseguir el nombre y password de un usuario legítimo para, una vez ingresado al sistema, tomar acciones en nombre de él, como puede ser el envío de falsos e-mails. El intruso usualmente utiliza un sistema para obtener información e ingresar en otro, y luego utiliza este para entrar en otro, y en otro. Este proceso, llamado Looping, tiene la finalidad de ocultar la identificación y la ubicación del hacker . El camino tomado desde el origen hasta el destino puede tener muchas estaciones, que exceden obviamente los límites de un país.

JAMMING o FLOODING

Este tipo de ataques desactivan o saturan los recursos del sistema. Por ejemplo, un atacante puede consumir toda la memoria o espacio en disco disponible, así como enviar tanto tráfico a la red que nadie más puede utilizarla.
Muchos host de Internet han sido dados de baja por el "ping de la muerte", una versión-trampa del comando ping. Mientras que el ping normal simplemente verifica si un sistema está enlazado a la red, el ping de la muerte causa el reboot o el apagado instantáneo del equipo.
Otra acción común es la de enviar millares de e-mails sin sentido a todos los usuarios posibles en forma continua, saturando los distintos servidores de destino.

BOMBAS LÓGICAS

Este suele ser el procedimiento de sabotaje mas comúnmente utilizado por empleados descontentos. Consiste en introducir un programa o rutina que en una fecha determinada destruirá, modificará la información o provocara el cuelgue del sistema.

DIFUSIÓN DE VIRUS

Si bien es un ataque de tipo tampering, difiere de este porque puede ser ingresado al sistema por un dispositivo externo (diskettes) o través de la red (e-mails u otros protocolos) sin intervención directa del atacante. Dado que el virus tiene como característica propia su autoreproducción, no necesita de mucha ayuda para propagarse rápidamente, si es que no esta instalada una protección antivirus en los servidores, estaciones de trabajo, y los servidores de e-mail.

Existen distintos tipos de virus, como aquellos que infectan archivos ejecutables (.exe, .com, .bat, etc) y los sectores de boot-partition de discos y diskettes, pero aquellos que causan en estos tiempos más problemas son los macro-virus, que están ocultos en simples documentos o planilla de cálculo, aplicaciones que utiliza cualquier usuario de PC, y cuya difusión se potencia con la posibilidad de su transmisión de un continente a otro a través de cualquier red o Internet. Y además son multiplataforma, es decir, no están atados a un sistema operativo en particular, ya que un documento de MS-Word puede ser procesado tanto en un equipo Windows 95/98/XP, como en una Macintosh u otras.

Juan Luis /julio/2005