TECNICAS DE ATAQUE - ArturoSelect (1)

Vista previa del material en texto

TECNICAS DE ATAQUE
Un ataque informático consiste en aprovechar alguna debilidad o falla (vulnerabilidad) en el software, en el hardware, e incluso, en las personas que forman parte de un ambiente informático, a fin de obtener un beneficio, por lo general de índole económico, causando un efecto negativo en la seguridad del sistema, que luego repercute directamente en los activos de la organización. 
 Para minimizar el impacto negativo provocado por ataques, existen procedimientos y mejores prácticas que facilitan la lucha contra las actividades delictivas y reducen notablemente el campo de acción de los ataques. 
Los ataques informáticos de dividen en:
Amenazas internas: Generalmente estas amenazas pueden ser más serias que las externas por varias razones como son:
-Los usuarios conocen la red y saben cómo es su funcionamiento.
-Tienen algún nivel de acceso a la red por las mismas necesidades de su trabajo.
-Los IPS (sistema de prevención de intrusos) y Firewalls son mecanismos no efectivos en amenazas internas.
Esta situación se presenta gracias a los esquemas ineficientes de seguridad con los que cuentan la mayoría de las compañías a nivel mundial, y porque no existe conocimiento relacionado con la planeación de un esquema de seguridad eficiente que proteja los recursos informáticos de las actuales amenazas combinadas.
El resultado es la violación de los sistemas, provocando la pérdida o modificación de los datos sensibles de la organización, lo que puede representar un daño con valor de miles o millones de dólares.
Amenazas externas: Son aquellas amenazas que se originan de afuera de la red. Al no tener información certera de la red, un atacante tiene que realizar ciertos pasos para poder conocer qué es lo que hay en ella y buscar la manera de atacarla. La ventaja que se tiene en este caso es que el administrador de la red puede prevenir una buena parte de los ataques externos.
Métodos de Propagación de los Virus Informáticos
Existen dos tipos de contagio. En el primero, el usuario en un momento dado, ejecuta o acepta de forma inadvertida la instalación del virus. En el segundo, el programa malicioso actúa replicándose a través de las redes. En este caso se habla de gusanos. En cualquiera de los dos casos, el sistema operativo infectado comienza a sufrir una serie de comportamientos anómalos o imprevistos. Dichos comportamientos pueden dar una pista del problema y permitir la recuperación del mismo.
Las maneras más frecuentes de propagación son a través de correo electrónico, videos por redes sociales, publicidad engañosa que ofrecen premios en dinero o viajes, entre otras de este tipo, pero cada virus como tal tiene su manera propia de expandirse dentro del computador, estas maneras son: 
1.-Añadidura o Empalme: esto sucede cuando agrega el código vírico al final de los archivos ejecutables, los cuales son modificados para que, cuando se ejecute, el control del programa se pase primero al código vírico añadido. De esta forma permite que el virus ejecute sus tareas específicas y liego entregue el control al programa.
2.-Inserción: ocurre cuando copia su código directamente dentro de archivos ejecutables, en vez de añadirse al final de los archivos anfitriones. Copian su código de programa dentro de un código no utilizado o en sectores marcados como dañados dentro del archivo en el sistema operativo y esto evita que el tamaño varíe. Necesita técnicas muy avanzadas de programación por lo que no es muy utilizado.
3.-Reorientación: es una variante del anterior, introduce el código principal del virus en zonas físicas del disco rígido que se marcan como defectuosas y en los archivos se implantan pequeños trozos de código que llaman al código principal al ejecutarse el archivo. Lo ventajoso es que no modifica el tamaño del archivo lo cual lo hace bastante importante y funcional. Se elimina fácilmente reescribiendo los sectores marcados como defectuosos.
4.-Polimorfismo: es el más avanzado de contagio. Su técnica consiste en insertar el código del virus en un archivo ejecutable, y para evitar el aumento de tamaño del archivo infectado compacta su código con el del archivo anfitrión a tal punto que quede del mismo tamaño del archivo original. Una variante permite encriptar dinámicamente para evitar ser detectados por los antivirus.
5.-Sustitución: es el método más tosco que existe, consiste en sustituir el código original del archivo por el del virus, al ejecutarse el archivo deseado, le da paso al virus y para disimular este procede a dar un tipo de error con el archivo para que el usuario crea que solo es un
problema del archivo.
BACKDOOR
Los más conocidos son Back Orifice y NetBus, dos de los primeros backdoors, que hasta nuestros días siguen vigentes aunque en menor cantidad dado que la mayoría de los programas antivirus los detectan. Otro muy conocido es el SubSeven, que también fue introducido en millones de ordenadores en el mundo.
Netcat es una de las herramientas de hacking y administración de redes que puede ser empleada para abrir puertas traseras así como emplearla para protegerse de ellas. Originalmente desarrollada para sistemas Unix, en la actualidad también está disponible para Microsoft Windows.
Un backdoor, traducido al español, es un troyano de puerta trasera. Es un tipo específico de troyano que funciona como cuando en las películas ponen un chicle (goma de mascar) en la cerradura de la puerta: la deja abierta.
Cuando un backdoor se instala en una computadora, lo primero que hace es modificar el sistema de manera de estar siempre activo (como un proceso, servicio, etc.), y tras eso, deja abierto un puerto de comunicación.
El backdoor suele tener, como contrapartida, un programa adicional, en posesión del creador del malware, con el que es posible conectarse a dicho puerto de comunicación, y de esa manera, enviar instrucciones al equipo infectado.
Los backdoor están normalmente preparados para recibir ciertas instrucciones particulares, y dependiendo de ellas, ejecutar distintos tipos de acciones, por ejemplo:
• Ejecutar otras aplicaciones
• Enviar archivos al autor
• Modificar parámetros de configuración del sistema
• Instalar otras aplicaciones y/o malware
• Etc.
BOMBAS LOGICAS
La bomba lógica más famosa
Se ha divulgado que en 1982 el incidente del gasoducto transiberiano ocurrió debido a una bomba lógica. Un operativo de la KGB pretendió haber robado los planos para un sofisticado sistema de control y su software de una firma canadiense, para el uso en su gasoducto siberiano. La CIA supuestamente fue notificada por documentos en elFirewall Dossier e hizo a la compañía insertar una bomba lógica en el programa para propósitos de sabotaje. Esto eventualmente resultó en «la más monumental explosión no nuclear y el primer fuego jamás vistos desde el espacio». Desde entonces se ha divulgado que este informe inicial fue una broma del April Fools' Day. 
Bombas lógicas fallidas
El 2 de octubre de 2003 Yung-Hsun Lin, también conocido como Andy Lin, cambió un código en un servidor de Medco Health Solutions Inc., las oficinas centrales en Fair Lawn Nueva Jersey), donde estaba empleado como administrador de Unix, creando un conjunto de bombas lógicas para activarse en su cumpleaños en 2004. Falló en funcionar debido a un error de programación, así que Lin corrigió el error y la reajustó para activarse en su siguiente cumpleaños, pero fue descubierta e inhabilitada por un administrador de los sistemas de computación de Medco algunos meses antes de la fecha del disparador. Lin se declaró culpable y fue sentenciado a 30 meses de cárcel en una prisión federal además de 81 200 dólares estadounidenses en restitución. Los cargos sostuvieron una máxima sentencia de 10 años y una multa por 250 000 dólares.
En junio de 2006 encargaron a Rogelio Duronio, un disgustado administrador de sistemas de UBS, se le hicieron cargos por usar una bomba lógica para dañar la red de computadores de la compañía, y fraude de títulos de valores por su fallido plan para tumbar el stock de la compañíacon la activación de la bomba lógica. Duronio fue posteriormente condenado y sentenciado a 8 años y 1 mes en prisión, así como una restitución 3,1 millones de dólares a UBS. 
El 29 de octubre de 2008 fue descubierta una bomba lógica en el gigante hipotecario estadounidense Fannie Mae. La bomba fue presuntamente plantada por Rajendrasinh Makwana, un ciudadano indio y contratista de IT que trabajó en la fábrica de Fannie Mae en Urbana (Maryland). La bomba fue ajustada para activarse el 31 de enero de 2009 y habría podido borrar todos los 4000 servidores de Fannie Mae. Makwana había terminado alrededor de la 1:00 pm el 24 de octubre de 2008 y logró plantar la bomba antes de que su acceso de red fuera revocado. Makwana fue procesado en una corte de Maryland el 27 de enero de 2009 por acceso desautorizado a la computadora. 
Una bomba lógica es una parte de código insertada intencionalmente en un programa informático que permanece oculto hasta cumplirse una o más condiciones preprogramadas, en ese momento se ejecuta una acción maliciosa. Por ejemplo, un programador puede ocultar una pieza de código que comience a borrar archivos cuando sea despedido de la compañía (en un disparador de base de datos (trigger) que se dispare al cambiar la condición de trabajador activo del programador).
El software que es inherentemente malicioso, como virus o gusanos informáticos, frecuentemente contiene bombas lógicas que ejecutan algún programa en un tiempo predefinido o cuando cierta condición se cumple. Esta técnica puede ser usada por un virus o un gusano para ganar ímpetu y para esparcirse antes de ser notado. Muchos virus atacan sus sistemas huéspedes en fechas específicas. Para ser considerado una bomba lógica, la acción ejecutada e debser indeseada y desconocida al usuario del software.
CABALLO DE TROYA
Historia de los troyanos
Los troyanos se concibieron como una herramienta para causar el mayor daño posible en el equipo infectado. En los últimos años y gracias al mayor uso de Internet, esta tendencia ha cambiado hacia el robo de datos bancarios o información personal.
Desde sus orígenes, los troyanos han sido utilizados como arma de sabotaje por los servicios de inteligencia como la CIA, cuyo caso más emblemático fue el Sabotaje al Gasoducto Siberiano en 1982. La CIA instaló un troyano en el software que se ocuparía de manejar el funcionamiento del gasoducto, antes de que la URSS comprara ese software en Canadá.
De acuerdo con un estudio de la empresa responsable del software de seguridad BitDefender desde enero hasta junio de 2009, "El número de troyanos está creciendo, representan el 83% del malware detectado".
En informática, se denomina troyano o caballo de Troya (del inglés Trojan horse) a un software malicioso que se presenta al usuario como un programa aparentemente legítimo e inofensivo, pero que, al ejecutarlo, le brinda a un atacante acceso remoto al equipo infectado.
Los troyanos pueden realizar diferentes tareas, pero, en la mayoría de los casos, crean una puerta trasera (en inglés backdoor) que permite la administración remota a un usuario no autorizado.
Un troyano no es de por sí, un virus informático, aun cuando teóricamente pueda ser distribuido y funcionar como tal. La diferencia fundamental entre un troyano y un virus consiste en su finalidad. Para que un programa sea un "troyano" solo tiene que acceder y controlar la máquina anfitriona sin ser advertido, normalmente bajo una apariencia inocua. Al contrario que un virus, que es un huésped destructivo, el troyano no necesariamente provoca daños, porque no es ese su objetivo.