06 - Ataques Remotos y Locales

[AFO018340] IFCT050PO GESTIÓN DE LA SEGURIDAD INFORMÁTICA EN LA EMPRESA
[MOD016531] IFCT050PO GESTIÓN DE LA SEGURIDAD INFORMÁTICA EN LA EMPRESA

[UDI096195] ATAQUES REMOTOS Y LOCALES.
Introducción
En la seguridad informática existen ataques, estos ataques se dividen en dos Ataques Remotos y
Ataques locales, ambos serán estudiados en el siguiente tema.
m
co
a.
ct
re
di
la
au
s.
pu
m
ca
campus.auladirecta.com
1 / 17
Objetivos
Conocer los diferentes tipos de ataques tanto remotos como locales, e intentar evitar o
anticipar estos ataques
m
co
a.
ct
re
di
la
au
s.
pu
m
ca
2 / 17
Mapa Conceptual
[[[Elemento Multimedia]]]
m
co
a.
ct
re
di
la
au
s.
pu
m
ca
3 / 17
Clasificación de los ataques.
Ataques Lógicos
Este tipo de seguridad está basada para cubrir las amenazas que se muestran sobre la información y
el software.
Trashing (Cartoneo)
m
Un usuario escribe su login y password en un papelito y luego, cuando se acuerda, lo tira a la
co
basura. Este procedimiento por más simple que parezca es el que puede utilizar un atacante para
a.
hacerse de una llave para penetrar en el sistema..."nada se destruye, todo se transforma". El
Trashing suele ser físico (como el caso descrito) o lógico, como revisar buffers de impresora y
ct
memoria, bloques de discos, etc.
re
Monitorización
di
Este tipo de ataque se hace para ver a la víctima y su sistema, con la finalidad de marcar sus
la
vulnerabilidades y posibles métodos de acceso futuros. Se puede presentar como:

au
Shoulder Surfing: Se basa en espiar físicamente a los usuarios para lograr el login y su
s.
password correspondiente. El Surfing exprime el error de los usuarios de dejar su login y

pu
password anotadas de forma próxima de la computadora (generalmente en post–it adheridos al
monitor o teclado). Algún intruso puede continuar por ahí, verlos y memorizarlos para su
m
posterior utilización. Otra técnica unida al surfing es aquella a través de la cual se ve, por
ca
encima del hombro, al usuario cuando inserta su nombre y password.
Decoy (Señuelos): Los Decoy son programas fabricados con la misma interface que otro
original. En ellos se simula la solicitud de un logeo y el usuario desprevenido lo realiza. Luego,
el programa almacenará esta información y dará paso a las actividades normales del sistema.
La información guardada será usada por el atacante para futuras "visitas". Una técnica similar
es aquella que, a través de un programa se almacenan todas las teclas presionadas durante una
sesión. Después solo hará falta estudiar el fichero generado para conocer nombres de usuarios
y claves.
4 / 17
Este tipo de ataque tiene como finalidad engañar al sistema de la víctima para entrar al mismo.
Generalmente este engaño se hace tomando las sesiones ya establecidas por la víctima o recogiendo
su nombre de usuario y password.
Spoofing-Looping: Spoofing puede decirse que es como "hacerse pasar por otro" y el objetivo
de esta técnica, justamente, es trabajar en nombre de otros usuarios, normalmente para hacer
tareas de Snooping. Una manera común de Spoofing es lograr el nombre y password de un
usuario legítimo para, una vez entrado al sistema, tomar acciones en su nombre. El intruso
m
usualmente usa un sistema para obtener información e ingresar en otro, y luego hace uso de
co
este para entrar en otro, y así sucesivamente. Este proceso al que podemos llamar como
Looping, tiene la finalidad de "evaporar" la identificación y la localización del atacante. El
a.
camino elegido desde el origen hasta el destino puede tener muchas paradas, que exceden
ct
obviamente los límites de un país. re
di
Ataques pasivos
la
au
Cuando se producen ataques pasivos el intruso o atacante no altera en modo alguno la
comunicación, sino que solamente se dedica a escuchar o monitorizar con el objetivo de obtener
s.
toda la información posible de lo que se está transmitiendo.

pu
Sus objetivos principales son interceptar datos y analizar el tráfico, una técnica más sutil para
obtener información sobre la comunicación, que puede tratar de:

m
ca
Conseguir el origen y destinatario de la comunicación a través de la lectura de las cabeceras de
los paquetes monitorizados.
Control del volumen de tráfico de intercambio entre las instituciones monitorizadas.
Control de las horas habituales de intercambio de datos entre las distintas instituciones.
Este tipo de ataques son muy difíciles de detectar ya que no provocan alteración alguna de los datos.
Ataques activos
5 / 17
Este tipo de ataques implican cambios en el flujo de datos y se dividen en los siguientes:
Suplantación de identidad: el atacante se hace pasar por una entidad diferente.
Reactuación: uno o varios mensajes son repetidos para producir un efecto no deseado.
Modificación de mensajes: una parte del mensaje real es alterada para producir efectos no
autorizados.
Degradación fraudulenta del servicio: Impide el uso normal de los recursos informáticos y las
comunicaciones.
m
co
a.
ct
re
di
la
au
s.
pu
Tipos de ataques más usuales

m
Sniffing: escucha los datos que atraviesan la red.

ca
Hijacking: Permite a personal no autorizado robar conexión de un usuario.
Explotar bugs del software: un intruso aprovecha fallos en el software para hacerse con el
control del sistema.
Negación de servicio: se bloquean un determinado número de servicios para que los empleados
no los puedan usar con normalidad.
Ingeniería social: un intruso convence a un empleado de que le transmita información.
Phising: A través de mensajes falsos se engaña a los usuarios para que faciliten información.
6 / 17
Confianza transitiva: se utilizan las relaciones UNIX o host para tener privilegios.
Ataques dirigidos por datos: virus, gusanos, etc.
Troyanos: el atacante puede hacerse con el control del sistema a través de un software
instalado en el ordenador.
Mensajes de control de red o enrutamiento fuente: se envían paquetes ICMP para hacer pasar
paquetes por un router comprometido.
Reenvío de paquetes: reenvío de paquetes para duplicar un mensaje.
m
Adivinación de password: ataques a través de diccionarios.
co
Tempest: barrido de emisiones de electrones de los CRT
Rubber-hosse: obtener información a través de soborno.
a.
ct
Shoulder Surfing:
re
Se basa en espiar físicamente a los usuarios para lograr el login y su password
di
correspondiente.
la
Son programas fabricados con la misma interface que otro original. En ellos se simula la
solicitud de un logeo y el usuario desprevenido lo realiza.
au
s.
pu
Indica si la siguiente afirmación es verdadera o falsa: Cuando se producen

ataques activos el intruso o atacante no altera en modo alguno la comunicación,
sino que solamente se dedica a escuchar o monitorizar con el objetivo de obtener
m
toda la información posible de lo que se está transmitiendo.

ca
Verdadero.
Falso.
7 / 17
Ataques remotos en UNIX.
Escaneos de puertos
Una de las principales actividades que un posible atacante hará contra su objetivo será sin duda un
escaneo de puertos, un portscan; esto le ayudará a obtener, en primer lugar, información básica
sobre qué servicios estamos ofertando en nuestras máquinas y, de forma adicional, otros detalles de
nuestro entorno como qué sistema operativo tenemos ejecutándose en cada host o ciertas
m
características de la arquitectura de la red. Analizando qué puertos se encuentran abiertos en un
co
sistema, el atacante puede buscar agujeros en cada uno de los servicios ofertados: cada puerto
abierto en una máquina es una potencial puerta de entrada a esta.
a.
ct
Chequear el estado de un determinado puerto es a priori una tarea muy simple; incluso es
posible realizarla desde la línea de órdenes, utilizando una herramienta tan genérica como telnet.
re
Pensemos que queremos conocer el estado del puerto 5000 en la máquina para la cual su dirección
di
IP es 192.168.0.10; si el telnet ha mostrado que el puerto ofrece una respuesta, entonces está
abierto y escuchando peticiones:

la
au
s.
pu
m
Si por el contrario el puerto está abierto pero en él no hay ningún atacante, la respuesta será similar
ca
a la siguiente:
Por último, si el puerto está protegido por un cortafuegos, lo más probable es que no obtengamos
respuesta alguna; el telnet lanzado se quedará intentando la conexión hasta que se produzca
8 / 17
un timeout o hasta que lo paremos manualmente:
Por lo general, nadie en su sano juicio usaría telnet para realizar un escaneo de puertos masivo
contra un sistema o contra toda una red;
m
co
a.
ct
re
di
la
au
s.
pu
m
ca
9 / 17
Ataques remotos sobre servicios inseguros en UNIX.
Interceptación
La interceptación lógica de datos más conocida y extendida es el sniffing: en esa misma sección ya
introdujimos este término y hablamos de dispositivos hardware como los sniffers de alta frecuencia;
pese a ello, en entornos de trabajo de seguridad media es mucho más normal que el sniffing se
ejecute usando programas (sniffers) y no elementos hardware.
m
co
En las redes de difusión, cuando una máquina envía una trama a otra indica en un campo reservado
la dirección del host destino; todas las máquinas del conjunto de colisiones tienen esa trama, pero
a.
solo su receptora de forma legal la captura y borra de la red. Este es el funcionamiento normal
ct
de TCP/IP; sin embargo, es necesario insistir en un aspecto: todas las máquinas ven la trama, y si no
leen todos sus campos es porque no `quieren'. Existe un modo de funcionamiento de las interfaces
re
de red denominado modo promiscuo, en el cual la tarjeta lee todas las tramas que circulan por la
di
red, tanto dirigidas a ella como a otras máquinas; el leerlas no implica el eliminarlas de la red, por lo
que el host destino legítimo la recibirá y eliminará sin notar nada extraño.
la
au
No podemos permitir que cualquiera que sea super usuario de un sistema pueda capturar
s.
todo el tráfico que pasa por el mismo (incluyendo claves, correo electrónico, y cientos de datos
pu
privados). Por si no bastara con esto, en los sistemas donde todos los usuarios poseen un control
total de la máquina no hace falta ese privilegio: cualquiera que se siente en un PC puede ejecutar
m
un sniffer y capturar todo el tráfico de la red.

ca
Programas para `esnifar' tráfico hay para todos los gustos y colores: desde sniff y su familia,
capaces hasta de capturar los correos electrónicos directamente en formato SMTP, hasta el
arcaico snoop de Solaris, que vuelca paquetes en un formato por defecto casi ilegible, pasando por
los clásicos tcpdump o sniffit (que en algunas de sus versiones incluía el Touch of Dead, capaz de
cortar conexiones establecidas entre dos máquinas sin más que pulsar F5. ojo, esto dificulta el
ataque pero no lo imposibilita!) o implantar redes privadas virtuales.
Pero sin ninguna duda la más barata y sencilla es el uso de protocolos cifrados siempre que nos sea
10 / 17
posible (que lo suele ser casi siempre): sustituir telnet y login por ssh y ftp por scp o sftp es muy
sencillo y proporciona un incremento seguridad abismal en nuestro entorno.
Implantar ssl o túneles seguros quizás sea algo costoso - en tiempo solamente -,aunque también en
la mayoría ocasiones merece la pena hacerlo. En todo momento hay que tener presente que
el sniffing es un peligro real, no necesita grandes medios y, lo que es peor, es indetectable en la
mayoría de casos a pesar de que existen métodos para tratar de detectar sistemas con interfaz en
modo promiscuo.
m
Aunque Linux sea el sistema Unix nativo de ttysnoop existen versiones también para otros entornos,
co
y por supuesto esta no es la única herramienta para `fisgonear' en las terminales de usuarios (otro
a.
ejemplo podría ser TTY Watcher, disponible para SunOS y Solaris).
ct
Otro ataque de interceptación, menos utilizado que los anteriores pero igual de peligroso, es
re
el keylogging, el registro de las teclas pulsadas por un usuario en una sesión. Aunque es más
habitual el uso de keyloggers en entornos Windows, en Unix también disponemos de ellos:
di
podríamos incluso considerar a ttysnoop como un keylogger avanzado, que no se limita únicamente
a registrar lo tecleado sino que permite interacción en tiempo real; otro ejemplo de un programa
la
que capture esta información puede ser un caballo de troya clásico, de los que ya hemos hablado.
Incluso en cualquier sistema Unix viene de serie unkeylogger: el programa script, que guarda en un
au
archivo lo que el usuario que lo invoca lee o escribe en la pantalla; bastaría una llamada a este
s.
programa en el inicio de sesión de cada usuario para conseguir un registro - muy arcaico y
fácilmente falseable - de lo que cada usuario teclea en su terminal, algo parecido a lo siguiente:
pu
Consola:~# grep script /etc/profile

m
exec /usr/bin/script -a /tmp/comandos-$USER

ca
Consola:~#
Indica si la siguiente afirmación es verdadera o falsa: Existe un modo de

funcionamiento de las interfaces de red denominado modo promiscuo, en el cual
la tarjeta lee casi todas las tramas que circulan por la red, tanto dirigidas a ella
como a otras máquinas; el leerlas no implica el eliminarlas de la red, por lo que el
host destino legítimo la recibirá y eliminará sin notar nada extraño.
11 / 17
Verdadero.
Falso.
m
co
a.
ct
re
di
la
au
s.
pu
m
ca
12 / 17
Ataques locales en UNIX.
Negaciones de servicio
Las negaciones de servicio (conocidas como DoS, Denial of Service) son ataques dirigidos
contra un recurso informático (generalmente una máquina o una red, pero además podría
tratarse de una simple impresora o una terminal) con la finalidad de degradar total o parcialmente
los servicios ofrecidos por ese recurso a sus usuarios legales; conforman en muchos casos uno de los
m
ataques más simples y contundentes contra todo tipo de servicios, y en lugares donde la
co
disponibilidad es valorada sobre otros parámetros de la seguridad global, puede pasar a ser un serio
problema, ya que un pirata puede parar constantemente un servicio sin necesidad de grandes
a.
conocimientos, usando simplemente sencillos programas y un módem y un PC caseros.
ct
Las negaciones de servicio más usuales suelen trabajar en la inhabilitación total de un
re
definido servicio o de un sistema completo, bien porque ha estado muy bloqueado por el
di
atacante o bien porque está tan desgastado que no es capaz de ofrecer un servicio a sus usuarios. En
gran parte de sistemas, un usuario con acceso shell no tendría tantos problemas en causar una
la
negación de servicio que echara abajo la máquina o la ralentizara en gran medida; esto no tiene
au
porqué ser - y de hecho en múltiples casos no lo es - un ataque de manera intencionada, sino que
puede deberse a un sencillo error de programación. Por ejemplo, pensemos en el

s.
siguiente shellscript (funciona en Linux):

pu
Consola:~# cat /usr/local/bin/lanzador

m
#!/bin/sh
ca
ps -ef|grep calcula|grep -v grep 2>&1 >/dev/null
if [ $? -eq 1 ]; then
/usr/local/bin/calcula &
fi
Consola:~#
13 / 17
¿Qué hacer si recibimos un ataque?
No es fácil saber si somos víctimas de un ataque remoto, ya que cada día se perfeccionan las
técnicas de los ciber delincuentes. Existen algunos síntomas que pueden ayudarnos a localizar este
tipo de ataque:
Consumo muy alto del ancho de banda de la conexión a Internet.
Ejecución de programas no queridos por el usuario.
m
Mensajes de instalación de programas que no queremos instalar.
co
Cambio repentino de las propiedades del sistema.
Movimiento no deseado del mouse y activación de periféricos sin la orden del usuario.
a.
ct
La principal recomendación para evitar este tipo de ataques, es el sentido común, ya que la mayoría
re
de ellos se basan en la ingenuidad y curiosidad de la víctima. Es por esta razón, que tenemos que
intentar evitar:
di
la
Abrir archivos adjuntos de correos electrónicos que no conocemos.
Evitar abrir documentos web muy publicitados en Internet.

au
No abrir videos sensacionalistas muy publicitados o enviados a través de e-mail o redes

s.
sociales.
Tratar en lo posible de no realizar enlaces recortados, publicados en redes sociales.

pu
Evitar la instalación software pirata.

m
No instalar programas descargados de Internet, si no se conoce el origen del software.

ca
Además de estas recomendaciones, es de vital importancia mantener todas nuestras aplicaciones
actualizadas, para así evitar errores que pudiesen ser utilizados por un atacante remoto. También,
es recomendable tener instalado en nuestro equipo un buen antivirus, un antimalware y cortafuegos
para minimizar el riesgo de conexiones no deseadas, y bloquear el acceso de estas a nuestros
equipos.
Lo primero que debes hacer si detectas que eres víctima de un ataque remoto es desconectarte de
internet y luego ya empezar a analizar el sistema completo.
14 / 17
Recuerda
m
co
a.
ct
re
di
la
au
s.
pu
m
ca
15 / 17
Autoevaluación
Indica las dos formas de monitorización:
Shoulder Surfing.
Decoy (Señuelos).
m
co
Trashing.
a.
ct
Indica si el siguiente enunciado es verdadero o falso: Ataques Lógicos están
basados en un tipo de seguridad está basada para cubrir las amenazas que se
re
muestran sobre la información y el software.
di
Verdadero
la
au
Falso
s.
pu
Indica si el siguiente enunciado es verdadero o falso: Chequear el estado de un

determinado puerto es a priori una tarea muy compleja.
m
Verdadero
ca
Falso
Indica si el siguiente enunciado es verdadero o falso: Las negaciones de servicio

(conocidas como DoS, Denial of Service) son ataques dirigidos contra un sistema
completo.
16 / 17
Verdadero
Falso
Los síntomas que pueden ayudarnos a localizar un ataque remoto son: (Repuesta
múltiple)
m
Evitar la instalación software pirata.
co
a.
Consumo muy alto del ancho de banda de la conexión a Internet.
ct
Mensajes de instalación de programas que no queremos instalar.
re
di
Abrir archivos adjuntos de correos electrónicos que no conocemos.

la
au
s.
pu
m
ca
17 / 17

06 - Ataques Remotos y Locales

Cargado por

Copyright:

Formatos disponibles

06 - Ataques Remotos y Locales

Cargado por

Información del documento

Descripción original:

Derechos de autor

Formatos disponibles

Compartir este documento

Compartir o incrustar documentos

Opciones para compartir

¿Le pareció útil este documento?

¿Este contenido es inapropiado?

Copyright:

Formatos disponibles

06 - Ataques Remotos y Locales

Cargado por

Copyright:

Formatos disponibles

[AFO018340] IFCT050PO GESTIÓN DE LA SEGURIDAD INFORMÁTICA EN LA EMPRESA

[MOD016531] IFCT050PO GESTIÓN DE LA SEGURIDAD INFORMÁTICA EN LA EMPRESA

Ataques locales, ambos serán estudiados en el siguiente tema.

anticipar estos ataques

Clasificación de los ataques.

vulnerabilidades y posibles métodos de acceso futuros. Se puede presentar como:

password correspondiente. El Surfing exprime el error de los usuarios de dejar su login y

password anotadas de forma próxima de la computadora (generalmente en post–it adheridos al

encima del hombro, al usuario cuando inserta su nombre y password.

original. En ellos se simula la solicitud de un logeo y el usuario desprevenido lo realiza. Luego,

su nombre de usuario y password.

tareas de Snooping. Una manera común de Spoofing es lograr el nombre y password de un

Looping, tiene la finalidad de "evaporar" la identificación y la localización del atacante. El

Cuando se producen ataques pasivos el intruso o atacante no altera en modo alguno la

toda la información posible de lo que se está transmitiendo.

obtener información sobre la comunicación, que puede tratar de:

Conseguir el origen y destinatario de la comunicación a través de la lectura de las cabeceras de

los paquetes monitorizados.

Control del volumen de tráfico de intercambio entre las instituciones monitorizadas.

Suplantación de identidad: el atacante se hace pasar por una entidad diferente.

Tipos de ataques más usuales

Sniffing: escucha los datos que atraviesan la red.

Hijacking: Permite a personal no autorizado robar conexión de un usuario.

control del sistema.

no los puedan usar con normalidad.

Ingeniería social: un intruso convence a un empleado de que le transmita información.

Ataques dirigidos por datos: virus, gusanos, etc.

paquetes por un router comprometido.

Reenvío de paquetes: reenvío de paquetes para duplicar un mensaje.

Rubber-hosse: obtener información a través de soborno.

Indica si la siguiente afirmación es verdadera o falsa: Cuando se producen

toda la información posible de lo que se está transmitiendo.

Ataques remotos en UNIX.

abierto en una máquina es una potencial puerta de entrada a esta.

abierto y escuchando peticiones:

un timeout o hasta que lo paremos manualmente:

contra un sistema o contra toda una red;

Ataques remotos sobre servicios inseguros en UNIX.

ejecute usando programas (sniffers) y no elementos hardware.

un sniffer y capturar todo el tráfico de la red.

ataque pero no lo imposibilita!) o implantar redes privadas virtuales.

sencillo y proporciona un incremento seguridad abismal en nuestro entorno.

el sniffing es un peligro real, no necesita grandes medios y, lo que es peor, es indetectable en la

Consola:~# grep script /etc/profile

exec /usr/bin/script -a /tmp/comandos-$USER

Indica si la siguiente afirmación es verdadera o falsa: Existe un modo de

Ataques locales en UNIX.

puede deberse a un sencillo error de programación. Por ejemplo, pensemos en el

siguiente shellscript (funciona en Linux):

Consola:~# cat /usr/local/bin/lanzador

ps -ef|grep calcula|grep -v grep 2>&1 >/dev/null

¿Qué hacer si recibimos un ataque?

Consumo muy alto del ancho de banda de la conexión a Internet.

Ejecución de programas no queridos por el usuario.

Abrir archivos adjuntos de correos electrónicos que no conocemos.

Evitar abrir documentos web muy publicitados en Internet.

No abrir videos sensacionalistas muy publicitados o enviados a través de e-mail o redes

Tratar en lo posible de no realizar enlaces recortados, publicados en redes sociales.

Evitar la instalación software pirata.