PROTECCIÓN

Una vez conocidas las vulnerabilidades y ataques a las que está expuesto un sistema es necesario conocer los recursos disponibles para protegerlo.Mientras algunas técnicas son evidentes otras pautas no lo son tanto e incluso algunas pueden ocasionar una sensación de falsa seguridad.

Después de lo expuesto y vistas la gran cantidad de herramientas con las que cuenta el intruso, es el turno de estudiar implementaciones en la búsqueda de mantener el sistema seguro.
Siendo reiterativo, ninguna de las técnicas expuestas a continuación representarán el 100% de la seguridad deseado.

VULNERAR PARA PROTEGER

Los intrusos utilizan diversas técnicas para quebrar los sistemas de seguridad de una red. Básicamente buscan los puntos débiles del sistema para poder colarse en ella.
Al conjunto de técnicas que se utilizan para evaluar y probar la seguridad de una red se lo conoce como Penetration Testing, uno de los recursos más poderosos con los que se cuenta hoy para generar barreras cada vez más eficaces.
El software y el Hardware utilizados son una parte importante, pero no la única. A ella se agrega lo que se denomina “políticas de seguridad internas” que cada organización debe generar e implementar.

ADMINISTRACIÓN DE LA SEGURIDAD

Es posible dividir las tareas de administración de seguridad en tres grandes grupos:

• Autenticación: se refiere a establecer las entidades que pueden tener acceso al universo de recursos de cómputo que cierto medio ambiente puede ofrecer.

• Autorización: es el hecho de que las entidades autorizadas a tener acceso a los recursos de cómputo, tengan acceso únicamente a las áreas de trabajo sobre las cuales ellas deben tener dominio.

• Auditora: se refiere a la continua vigilancia de los servicios en producción. Entra dentro de este grupo el mantener estadísticas de acceso, estadísticas de uso y políticas de acceso físico a los recursos.

PENETRATION TEST, ETHICAL HACKING O PRUEBA DE VULNERABILIDA
El Penetration Test es un conjunto de metodologías y técnicas, para realizar una reproduce intentos de acceso, a cualquier entorno informático, de un intruso potencial desde los diferentes puntos de entrada que existan, tanto internos como remotos. evaluación integral de las debilidades de los sistemas informáticos. Consiste en un modelo que reproduce intentos de acceso, a cualquier entorno informático, de un intruso potencial desde los diferentes puntos de entrada que existan, tanto internos como remotos.

El Penetration Test se compone de dos grandes fases:

1. Penetration Test Externo: el objetivo es acceder en forma remota a los equipos de la organización y posicionarse como administrador del sistema. Se realizan desde fuera del Firewall y consisten en penetrar la Zona Desmilitarizada para luego acceder a la red interna.
2. Penetration Test Interno: este tipo de testeo trata de demostrar cual es el nivel de seguridad interno. Se deberá establecer que puede hacer un Insider y hasta donde será capaz de penetrar en el sistema siendo un usuario con privilegios bajos.

HONEYPOTS–HONEYNETS

Estas “Trampas de Red” son sistemas que se activan con la finalidad específica de que los expertos en seguridad puedan observar en secreto la actividad de los Hackers/Crackers en su hábitat natural.Actualmente un equipo de Honeynet Project3 trabaja en el desarrollo de un documento sobre la investigación y resultados de su trampa, la cual fue penetrada a la semana de ser activada (sin publicidad).

FIREWALLS

Quizás uno de los elementos más publicitados a la hora de establecer seguridad, sean estos elementos. Aunque deben ser uno de los sistemas a los que más se debe prestar atención, distan mucho de ser la solución final a los problemas de seguridad.

Un Firewall es un sistema (o conjunto de ellos) ubicado entre dos redes y que ejerce la una política de seguridad establecida. Es el mecanismo encargado de proteger una red confiable de una que no lo es (por ejemplo Internet).

ROUTERS Y BRIDGES

Cuando los paquetes de información viajan entre su destino y origen, vía TCP/IP, estos pasan por diferentes Routers.

Los Routers son dispositivos electrónicos encargados de establecer comunicaciones externas y de convertir los protocolos utilizados en las LAN en protocolos de WAN y viceversa.

TIPOS DE FIREWALL

Filtrado de paquetes

Se utilizan Routers con filtros y reglas basadas en políticas de control de acceso. El Router es el encargado de filtrar los paquetes basados en cualquiera de los siguientes criterios:

1. Protocolos utilizados.
2. Dirección IP de origen y de destino.
3. Puerto TCP–UDP de origen y de destino.

Estos criterios permiten gran flexibilidad en el tratamiento del tráfico. Restringiendo las comunicaciones entre dos computadoras (mediante las direcciones IP) se permite determinar entre cuales máquinas la comunicación está permitida.

Proxy- Gateways de aplicaciones

Para evitar las debilidades asociadas al filtrado de paquetes, los desarrolladores crearon software de aplicación encargados de filtrar las conexiones. Estas aplicaciones son conocidas como Servidores Proxy y la máquina donde se ejecuta recibe el nombre de Gateway de Aplicación o Bastion Host.

Dual-Homed host

Son dispositivos que están conectados a ambos perímetros (interior y exterior) y no dejan pasar paquetes IP (como sucede en el caso del Filtrado de Paquetes), por lo que se dice que actúan con el IP–Forwarding desactivado.

Es decir que se utilizan dos conexiones. Uno desde la máquina interior hasta el Firewall y el otro desde este hasta la máquina que albergue el servicio exterior.

Screened host

En este caso se combina un Router con un host bastión y el principal nivel de seguridad proviene del filtrado de paquetes. En el bastión, el único sistema accesible desde el exterior, se ejecuta el Proxy de aplicaciones y en el Choke se filtran los paquetes considerados peligrosos y sólo se permiten un número reducido de servicios.

Screened subnet

En este diseño se intenta aislar la máquina más atacada y vulnerable del Firewall, el Nodo Bastión. Para ello se establece una Zona Desmilitarizada (DMZ) de forma tal que sin un intruso accede a esta máquina no consiga el acceso total a la subred protegida.

En este esquema se utilizan dos Routers: uno exterior y otro interior. El Router exterior tiene la misión de bloquear el tráfico no deseado en ambos sentidos. El Router interior hace lo mismo con la red interna y la DMZ (zona entre el Router externo y el interno).

Inspeccion de paquetes

Este tipo de Firewalls se basa en el principio de que cada paquete que circula por la red es inspeccionado, así como también su procedencia y destino. Se aplican desde la capa de Red hasta la de Aplicaciones.

Firewalls personales

Estos Firewalls son aplicaciones disponibles para usuarios finales que desean conectarse a una red externa insegura y mantener su computadora a salvo de ataques que puedan ocasionarle desde un simple “cuelgue” o infección de virus hasta la pérdida de toda su información almacenada.

ACCESS CONTROL LISTS (ACL)

Las Listas de Control de Accesos proveen de un nivel de seguridad adicional a los clásicos provistos por los Sistemas Operativos. Estas listas permiten definir permisos a usuarios y grupos concretos.También podrán definirse otras características como limitaciones de anchos de banda y horarios.

WRAPPERS

Un Wrapper es un programa que controla el acceso a un segundo programa. El
Wrapper literalmente cubre la identidad de este segundo programa, obteniendo con esto un
más alto nivel de seguridad.

Los Wrappers son ampliamente utilizados, y han llegado a formar parte de
herramientas de seguridad por las siguientes razones:

• Debido a que la seguridad lógica esta concentrada en un solo programa, los Wrappers son fáciles y simples de validar.
• Debido a que el programa protegido se mantiene como una entidad separada, éste puede ser actualizado sin necesidad de cambiar el Wrapper.
• Debido a que los Wrappers llaman al programa protegido mediante llamadas estándar al sistema, se puede usar un solo Wrapper para controlar el acceso a diversos programas que se necesiten proteger.
• Permite un control de accesos exhaustivo de los servicios de comunicaciones, además de buena capacidad de Logs y auditorias de peticiones a dichos servicios, ya sean autorizados o no.

DETECCIÓN DE INTRUSOS EN TIEMPO REAL

La seguridad se tiene que tratar en conjunto. Este viejo criterio es el que recuerda que los sistemas de protección hasta aquí abordados, si bien son eficaces, distan mucho de ser la protección ideal.

La integridad de un sistema se puede corromper de varias formas y la forma de evitar esto es con la instalación de sistemas de Detección de Intrusos en Tiempo Real, quienes:

• Inspeccionan el tráfico de la red buscando posibles ataques.
• Controlan el registro de los servidores para detectar acciones sospechosas (tanto de intrusos como de usuarios autorizados).
• Mantienen una base de datos con el estado exacto de cada uno de los archivos (Integrity Check) del sistema para detectar la modificación de los mismos.
• Controlan el ingreso de cada nuevo archivo al sistema para detectar Caballos de Troya o semejantes.
• Controlan el núcleo del Sistema Operativo para detectar posibles infiltraciones en él, con el fin de controlar los recursos y acciones del mismo.
• Avisan al administrador de cualquiera de las acciones mencionadas.

INTRUSIÓN DETECTION SYSTEMS (IDS)
Un sistema de detección de intrusos es un componente más dentro del modelo de seguridad de una organización. Consiste en detectar actividades inapropiadas, incorrectas o anómala desde el exterior–interior de un sistema informático.

Los sistemas de detección de intrusos pueden clasificarse, según su función y comportamiento en:

• Host–Based IDS: operan en un host para detectar actividad maliciosa en el mismo.
• Network–Based IDS: operan sobre los flujos de información intercambiados en una red.
• Knowledge–Based IDS: sistemas basados en Conocimiento.
• Behavior–Based IDS: sistemas basados en Comportamiento. Se asume que una intrusión puede ser detectada observando una desviación respecto del comportamiento normal o esperado de un usuario en el sistema.

CALL BACK

Este procedimiento es utilizado para verificar la autenticidad de una llamada vía modem. El usuario llama, se autentifica contra el sistema, se desconecta y luego el servidor se conecta al número que en teoría pertenece al usuario.

SISTEMAS ANTI–SNIFFERS

Esta técnica consiste en detectar Sniffers en el sistema. Generalmente estos programas

se basan en verificar el estado de la placa de red, para detectar el modo en el cual está

actuando (recordar que un Sniffer la coloca en Modo Promiscuo), y el tráfico de datos en ella.

GESTION DE CLAVES “SEGURAS”

Partiendo de la premisa en que no se disponen de esa cantidad de años para analizarlas

por fuerza bruta, se deberá comenzar a probar con las claves más posibles, comúnmente

llamadas Claves Débiles.

Según demuestra el análisis de +NetBuL6 realizado sobre 2.134 cuentas y probando

227.000 palabras por segundo:

• Con un diccionario 2.030 palabras (el original de John de Ripper 1.04), se obtuvieron 36 cuentas en solo 19 segundos (1,77%).
• Con un diccionario de 250.000 palabras, se obtuvieron 64 cuentas en 36:18 minutos (3,15%).

Otro estudio7 muestra el resultado obtenido al aplicar un ataque, mediante un

diccionario de 62.727 palabras, a 13.794 cuentas:

• En un año se obtuvieron 3.340 contraseñas (24,22%).
• En la primera semana se descubrieron 3.000 claves (21,74%).
• En los primeros 15 minutos se descubrieron 368 palabras claves (2,66%).

NORMAS DE ELECCIÓN DE CLAVES

Se debe tener en cuenta los siguientes consejos:

1. No utilizar contraseñas que sean palabras (aunque sean extranjeras), o nombres (el del usuario, personajes de ficción, miembros de la familia, mascotas, marcas, ciudades, lugares, u otro relacionado).
2. No usar contraseñas completamente numéricas con algún significado (teléfono, D.N.I., fecha de nacimiento, patente del automóvil, etc.).
3. Elegir una contraseña que mezcle caracteres alfabéticos (mayúsculas y minúsculas) y numéricos.
4. Deben ser largas, de 8 caracteres o más.
5. Tener contraseñas diferentes en máquinas diferentes. Es posible usar una contraseña base y ciertas variaciones lógicas de la misma para distintas máquinas.
6. Deben ser fáciles de recordar para no verse obligado a escribirlas.

SEGURIDAD EN PROTOCOLOS Y SERVICIOS

Se ha visto en capítulos anteriores la variedad de protocolos de comunicaciones existentes, sus objetivos y su funcionamiento. Como puede preverse todos estos protocolos tienen su debilidad ya sea en su implementación o en su uso.

Netbios

Estos puerto son empleado en las redes Microsoft para la autentificación de usuarios y la compartición de recursos.

ICMP

A fin de prevenir los ataques basados en bombas ICMP, se deben filtrar todos los paquetes de redirección y los paquetes inalcanzables.

Finger

Típicamente el servicio Finger ha sido una de las principales fuentes de problemas. Este protocolo proporciona información detallada de los usuarios de una estación de trabajo, estén o no conectados en el momento de acceder al servicio.

POP

El servicio POP utilizado para que los usuarios puedan acceder a su correo sin necesidad de montar un sistemas de archivos compartidos.

Mediante POP se genera un tránsito peligroso de contraseñas a través de la red.

NNTP

El servicio NNTP se utilizado para intercambiar mensajes de grupos de noticias entre servidores de News.

De esta forma, los servidores NNTP son muy vulnerables a cualquier ataque que permita falsear la identidad de la máquina origen, como el IP Spoofing.

NTP

Es un protocolo utilizado protocolo utilizado para sincronizar relojes de máquinas de una forma muy precisa; a pesar de su sofisticación no fue diseñado con una idea de robustez ante ataques, por lo que puede convertirse en una gran fuente de problemas si no está correctamente configurado.

TFTP

es un protocolo de transferencia de archivos que no proporciona ninguna seguridad. Por tanto en la mayoría de sistemas es deseable (obligatorio) que este servicio esté desactivado.

FTP

Un problema básico y grave de FTP es que ha sido diseñado para

ofrecer la máxima velocidad en la conexión, pero no para ofrecer la seguridad; todo el

intercambio de información, desde el Login y password del usuario en el servidor hasta la

transferencia de cualquier archivo, se realiza en texto claro, con lo que un atacante no tiene

más que capturar todo ese tráfico y conseguir así un acceso válido al servidor.

Telnet

El protocolo TELNET permite utilizar una máquina como terminal virtual de otra a través de la red, de forma que se crea un canal virtual de comunicaciones similar (pero mucho más inseguro) a utilizar una terminal físicamente conectada a un servidor.

SMTP

La mala configuración del servicio SMTP utilizado para transferir correo electrónico entre equipos remotos; suele ser causante del Mail Bombing y el Spam redirigido.

Servidores WWW

Hoy en día las conexiones a servidores web son sin duda las más extendidas entre usuarios de Internet. En la actualidad mueve a diario millones de dólares y es uno de los pilares fundamentales de muchas empresas: es por tanto un objetivo muy atractivo para cualquier intruso.

CRIPTOLOGÍA

En el año 500 a.C. los griegos utilizaron un cilindro llamado “scytale” alrededor del cual enrollaban una tira de cuero. Al escribir un mensaje sobre el cuero y desenrollarlo se veía una lista de letras sin sentido. El mensaje correcto sólo podía leerse al enrollar el cuero nuevamente en un cilindro de igual diámetro.

CRIPTOGRAFÍA

la Criptografía hace años que dejó de ser un arte para convertirse en una técnica (o conjunto de ellas) que tratan sobre la protección (ocultamiento ante personas no autorizadas) de la información.

Es decir que la Criptografía es la ciencia que consiste en transformar un mensaje inteligible en otro que no lo es para después devolverlo a su forma original, sin que nadie que vea el mensaje cifrado sea capaz de entenderlo.

AUTENTIFICACIÓN

Se entiende por Autentificación cualquier método que permita garantizar alguna

característica sobre un objeto dado.Interesa comprobar la autentificación de:

• Mensaje mediante una firma: se debe garantizar la procedencia de un mensaje conocido, de forma de poder asegurar que no es una falsificación. A este mecanismo se lo conoce como Firma Digital y consiste en asegurar que el mensaje m proviene del emisor E y no de otro.
• Usuario mediante una contraseña: se debe garantizar la presencia de un usuario autorizado mediante una contraseña secreta.
• Dispositivo: se debe garantizar la presencia de un dispositivo válido en el sistema, por ejemplo una llave electrónica.

ESTEGANOGRAFÍA

Consiste en ocultar en el interior de información aparentemente inocua, otro tipo de

información (cifrada o no). El texto se envía como texto plano, pero entremezclado con mucha

cantidad de “basura” que sirve de camuflaje al mensaje enviado.

COMERCIO ELECTRÓNICO

El comercio electrónico abarca todos los conceptos relacionados con procesos de mercado entre entidades físicas o jurídicas pero a través de redes de telecomunicaciones. 

El principal requisito que debe tener una transacción electrónica es la Seguridad además de:

• Confidencialidad (anonimato): la identidad del comprador no es conocida por el vendedor; nadie, excepto el banco, debería conocer la identidad del comprador; el banco debería ignorar la naturaleza de la compra y; un tercero no debería poder acceder a la información enviada.
• Autenticación: permite a cada lado de la comunicación asegurarse de que el otro es quien dice ser.
• Integridad: evita que un tercero pueda modificar la información enviada por cualquiera de las partes.
• No Repudio o Irrefutabilidad: permite, a cada lado de la comunicación, probar fehacientemente que el otro lado ha participado: el origen no puede negar haberlo enviado y el destino no puede negar haberlo recibido.
• Flexibilidad: aceptar todas las posibles formas de pago existentes.
• Eficiencia: el costo del servicio no debe ser mayor que el precio del producto o servicio.

SEGURIDAD LÓGICA

La seguridad lógica consiste en la aplicación de barreras y procedimientos que resguarden el acceso a los datos y sólo se permita acceder a ellos a las personas autorizadas para hacerlo.

Los objetivos que se plantean serán:

1. Restringir el acceso a los programas y archivos.
2. Asegurar que los operadores puedan trabajar sin una supervisión minuciosa y no puedan modificar los programas ni los archivos que no correspondan.
3. Asegurar que se estén utilizados los datos, archivos y programas correctos en y por el procedimiento correcto.
4. Que la información transmitida sea recibida sólo por el destinatario al cual ha sido enviada y no a otro.
5. Que la información recibida sea la misma que ha sido transmitida.
6. Que existan sistemas alternativos secundarios de transmisión entre diferentes puntos.
7. Que se disponga de pasos alternativos de emergencia para la transmisión de información.

CONTROLES DE ACCESO

Constituyen una importante ayuda para proteger al sistema operativo de la red, al sistema de aplicación y demás software de la utilización o modificaciones no autorizadas; para mantener la integridad de la información y para resguardar la información confidencial de accesos no autorizados.

Asimismo, es conveniente tener en cuenta otras consideraciones referidas a la

seguridad lógica.

Identificación y autentificación

Es la primera línea de defensa para la mayoría de los sistemas computarizados, permitiendo prevenir el ingreso de personas no autorizadas. Es la base para la mayor parte de los controles de acceso y para el seguimiento de las actividades de los usuarios.

Se denomina Identificación al momento en que el usuario se da a conocer en el

sistema; y Autenticación a la verificación que realiza el sistema sobre esta identificación.

Roles

El acceso a la información también puede controlarse a través de la función o rol del
usuario que requiere dicho acceso.

Transacciones
También pueden implementarse controles a través de las transacciones.

Limitaciones a los servicios

Estos controles se refieren a las restricciones que dependen de parámetros propios de la utilización de la aplicación o preestablecidos por el administrador del sistema.

Modalidad de acceso
Se refiere al modo de acceso que se permite al usuario sobre los recursos y a la información. Esta modalidad puede ser:

• Lectura: el usuario puede únicamente leer o visualizar la información pero no puede alterarla. Debe considerarse que la información puede ser copiada o impresa.
• Escritura: este tipo de acceso permite agregar datos, modificar o borrar información.
• Ejecución: este acceso otorga al usuario el privilegio de ejecutar programas.
• Borrado: permite al usuario eliminar recursos del sistema El borrado es considerado una forma de modificación.
• Creación: permite al usuario crear nuevos archivos, registros o campos.
• Búsqueda: permite listar los archivos de un directorio determinado.

Control de acceso interno

• Palabras claves (passwords).
• Encriptación.
• Listas de control de accesos.
• Limites sobre la interface de usuario.
• Etiquetas de seguridad.

Control de acceso externo

• Dispositivos de control de puertos.
• Firewalls o puertas de seguridad.
• Acceso de personal contratado o consultores.
• Acceso publico.

ADMINISTRACIÓN

Una vez establecidos los controles de acceso sobre los sistemas y la aplicación, es necesario realizar una eficiente administración de estas medidas de seguridad lógica, lo que involucra la implementación, seguimientos, pruebas y modificaciones sobre los accesos de los usuarios de los sistemas.

La política de seguridad que se desarrolle respecto a la seguridad lógica debe guiar a las decisiones referidas a la determinación de los controles de accesos y especificando las consideraciones necesarias para el establecimiento de perfiles de usuarios.

NIVELES DE SEGURIDAD INFORMÁTICA

El estándar de niveles de seguridad mas utilizado internacionalmente es el TCSEC

Orange Book, desarrollado en 1983 de acuerdo a las normas de seguridad en computadoras

del departamento de defensa de los Estados Unidos.

Nivel D
Este nivel contiene sólo una división y está reservada para sistemas que han sido evaluados y no cumplen con ninguna especificación de seguridad.
Los sistemas operativos que responden a este nivel son MS–DOS y System 7.0 de Macintosh.t

Nivel C1: Protección discrecional

Se requiere identificación de usuarios que permite el acceso a distinta información.

• Acceso de control discrecional: distinción entre usuarios y recursos. Se podrán definir grupos de usuarios y grupos de objetos.
• Identificación y Autentificación: se requiere que un usuario se identifique antes de comenzar a ejecutar acciones sobre el sistema.

Nivel C2: Protección de acceso controlado

Este subnivel fue diseñado para solucionar las debilidades del C1. Cuenta con características adicionales que crean un ambiente de acceso controlado. Se debe llevar una auditoria de accesos e intentos fallidos de acceso a objetos.

Nivel B1: Seguridad etiquetada

Soporta seguridad multinivel, como la secreta y ultrasecreta. Se establece que el dueño del archivo no puede modificar los permisos de un objeto que está bajo control de acceso obligatorio.

Nivel B2: Protección estructurada

Requiere que se etiquete cada objeto de nivel superior por ser padre de un objeto inferior. La Protección Estructurada es la primera que empieza a referirse al problema de un objeto a un nivel mas elevado de seguridad en comunicación con otro objeto a un nivel inferior.

Nivel B3: Dominios de seguridad

Refuerza a los dominios con la instalación de hardware: por ejemplo el hardware de administración de memoria se usa para proteger el dominio de seguridad de acceso no autorizado a la modificación de objetos de diferentes dominios de seguridad.

Nivel A: Protección verificada
Es el nivel más elevado, incluye un proceso de diseño, control y verificación, mediante métodos formales (matemáticos) para asegurar todos los procesos que realiza un usuario sobre el sistema

AMENAZAS LÓGICAS

Si extrapolamos este concepto a la seguridad resultaría que todo sistema tiende a su máxima inseguridad. Este principio supone decir:

• Los protocolos de comunicación utilizado carecen, en su mayoría, de seguridad o esta ha sido implementada, tiempo después de su creación, en forma de parche.
• Existen agujeros de seguridad en los sistemas operativos.
• Existen agujeros de seguridad en las aplicaciones.
• Existen errores en las configuraciones de los sistemas.
• Todo sistema es inseguro.

ACCESO-USO-AUTORIZACIÓN

La identificación de estas palabras es muy importante ya que el uso de algunas implica un uso desapropiado de las otras.

Específicamente acceso y hacer uso no son el mismo concepto cuando se estudian desde el punto de vista de un usuario y de un intruso.

DETECCIÓN DE INTRUSOS

A finales de 1996, Dan Farmer (creador de una de las herramientas mas útiles en la detección de intrusos: SATAN) realizo un estudio sobre seguridad analizando 2.203 sistemas de sitios en Internet. Los sistemas objeto del estudio fueron web sites orientados al comercio y con contenidos específicos, ademas de un conjunto de sistemas informáticos aleatorios con los que realizar comparaciones.

IDENTIFICACIÓN DE LAS AMENAZAS

La identificación de amenazas requiere conocer los tipos de ataques, el tipo de acceso, la forma operacional y los objetivos del atacante.
Las consecuencias de los ataques se podrían clasificar en:

• Data Corruption: la información que no contenía defectos pasa a tenerlos.
• Denial of Service (DoS): servicios que deberían estar disponibles no lo están.
• Leakage: los datos llegan a destinos a los que no deberían llegar.

TIPOS DE ATAQUE

A continuación se expondrán diferentes tipos de ataques perpetrados, principalmente,

por Hackers. Estos ataques pueden ser realizados sobre cualquier tipo de red, sistema

operativo, usando diferentes protocolos, etc.

Ingeniera social

Es la manipulación de las personas para convencerlas de que ejecuten acciones o actos que normalmente no realizan para que revele todo lo necesario para superar las barreras de seguridad. Si el atacante tiene la experiencia suficiente, puede engañar fácilmente a un usuario (que desconoce las mínimas medidas de seguridad) en beneficio propio. Esta técnica es una de las más usadas y efectivas a la hora de averiguar nombres de usuarios y passwords.

Ingeniera social inversa

Consiste en la generación, por parte de los intrusos, de una situación inversa a la

originada en Ingeniería Social.

El intruso publicita de alguna manera que es capaz de brindar ayuda a los

usuarios, y estos lo llaman ante algún imprevisto.

Trashing

Generalmente, un usuario anota su login y password en un papelito y luego, cuando lo recuerda, lo arroja a la basura. Este procedimiento por más inocente que parezca es el que puede aprovechar un atacante para hacerse de una llave para entrar el sistema.

Ataques de monitorización

Este tipo de ataque se realiza para observar a la victima y su sistema, con el objetivo de obtener información, establecer sus vulnerabilidades y posibles formas de acceso futuro.

• Shoulder surfing: Consiste en espiar físicamente a los usuarios para obtener el login y su password correspondiente. El Surfing explota el error de los usuarios de dejar su login y password anotadas cerca de la computadora (generalmente en post–it adheridos al monitos o teclado).
• Decoy: Son programas diseñados con la misma interface que otro original. En ellos se imita la solicitud de un logeo y el usuario desprevenido lo hace. Luego, el programa guardará esta información y dejará paso a las actividades normales del sistema. La información recopilada será utilizada por el atacante para futuras visitas.
• Scanning: El Scaneo, como método de descubrir canales de comunicación susceptibles de ser explotados, lleva en uso mucho tiempo. La idea es recorrer (scanear) tantos puertos de escucha como sea posible, y guardar información de aquellos que sean receptivos o de utilidad para cada necesidad en particular.
• Eavesdropping-Packet sniffing: Muchas redes son vulnerables al Eavesdropping, o a la pasiva intercepción (sin modificación) del tráfico de red. Esto se realiza con Packet Sniffers, los cuales son programas que monitorean los paquetes que circulan por la red.
• Snooping-Downloading: Los ataques de esta categoría tienen el mismo objetivo que el Sniffing: obtener la información sin modificarla.

Ataques de autentificación 

Este tipo de ataque tiene como objetivo engañar al sistema de la víctima para ingresar al mismo. Generalmente este engaño se realiza tomando las sesiones ya establecidas por la víctima u obteniendo su nombre de usuario y password.

• Spoofing-looping: Es conseguir el nombre y password de un usuario legítimo para, una vez ingresado al sistema, tomar acciones en nombre de él. El intruso usualmente utiliza un sistema para obtener información e ingresar en otro, y luego utiliza este para entrar en otro, y así sucesivamente. Este proceso, llamado Looping, tiene la finalidad de “evaporar” la identificación y la ubicación del atacante.
• Spoofing: Este tipo de ataques (sobre protolocos) suele implicar un buen conocimiento del protocolo en el que se va a basar el ataque. Los ataques tipo Spoofing bastante conocidos son el IP Spoofing, el DNS Spoofing y el Web Spoofing.
• Web spoofing: En el caso Web Spoofing el atacante crea un sitio web completo (falso) similar al que la víctima desea entrar. Los accesos a este sitio están dirigidos por el atacante, permitiéndole monitorear todas las acciones de la víctima, desde sus datos hasta las passwords, números de tarjeta de créditos, etc.
• IP Splicing-Hijacking: Se produce cuando un atacante consigue interceptar una sesión ya establecida. El atacante espera a que la victima se identifique ante el sistema y tras ello le suplanta como usuario autorizado.
• Utilización de exploits: Es muy frecuente ingresar a un sistema explotando agujeros en los algoritmos de encriptación utilizados, en la administración de las claves por parte la empresa, o simplemente encontrando un error en los programas utilizados.
• Obtención de passwords: Este método comprende la obtención por “Fuerza Bruta” de aquellas claves que permiten ingresar a los sistemas, aplicaciones, cuentas, etc. atacados.

DENIAL OF SERVICE

Los protocolos existentes actualmente fueron diseñados para ser empleados en una

comunidad abierta y con una relación de confianza mutua. La realidad indica que es más fácil

desorganizar el funcionamiento de un sistema que acceder al mismo; así los ataques de

Negación de Servicio tienen como objetivo saturar los recursos de la víctima de forma tal que

se inhabilita los servicios brindados por la misma.

CREACIÓN Y DIFUSIÓN DE VIRUS

Quizás uno de los temas más famosos y sobre los que más mitos e historias fantásticas se corren en el ámbito informático sean los Virus.

Pero como siempre en esta obscura realidad existe una parte que es cierta y otra que no lo es tanto.

VIRUS INFORMÁTICOS VS VIRUS BIOLÓGICOS

Para notarlas ante todo debemos saber con exactitud que es un Virus Informático y que es un Virus Biológico.

Virus Informático

Pequeño programa, invisible para el usuario (no detectable por el sistema operativo) y de actuar específico y subrepticio, cuyo código incluye información suficiente y necesaria para que, utilizando los mecanismos de ejecución que le ofrecen otros programas a través del microprocesador, puedan reproducirse formando réplicas de sí mismos.

Virus Biológico

Fragmentos de ADN o ARN cubiertos de una capa proteica. Se reproducen solo en el interior de células vivas, para lo cual toman el control de sus enzimas y metabolismo. Sin esto son tan inertes como cualquier otra macromolécula.