SINTAXIS de un ataque informatico

 

que cuando estén diciendo: Paz y seguridad, entonces la destrucción vendrá sobre ellos repentinamente, como dolores de parto a una mujer que está encinta, y no escaparán 1 Tesalonicenses 5:3

Conceptos

“Seguridad”

es una practica orientada a la eliminación de las vulnerabilidades
para evitar o reducir la posibilidad que las potenciales amenazas se concreten

FLUJO ATAQUE

AMENAZAS

Las amenazas son agentes capaces de explotar los fallos de seguridad que
denominamos puntos débiles

su exploracion puede ser:

las categorias básicas son:

acceso no autorizado

suplantación de identidad

denegación de servicios

VULNERABILIDADES

puntos debiles de los activos que son explorados por personas con intenciones , involuntaria o lamentablemente por desastre natural

expone a los activos perjudicando

Integridad
Confidencialidad
Disponibilidad

Integridad
Nos permite garantizar que la información no ha sido alterada en sucontenido.

Confidencialidad
Asegura que solo la persona correcta acceda a la información que queremos distribuir
Grado de sigilo:

La información tiene un fin específico y se destina a un usuario o grupo.
· Confidencial
· Restricto
· Sigiloso
· Publico

Disponibilidad
La información llega en el momento oportuno

ACTIVOS

A. Información
B. Equipo que la soportan:
· Software
· Hardware
· Organización
c. Personas que los utilizan o usuarios:



Es la probabilidad que las amenazas exploten los puntos débiles, causando
perdidas a daños en los activos e impactos afectando la confidencialidad, la
integridad y la disponibilidad de la información.

ATAQUE



 

planteamiento de la situacion

atacante ————————————– objetivo

 

  • RECONOCIMIENTO

fase preliminar con la información, busca un vector de ataque


 

recursos para obtener esta información:

Ingeniería Social:

localizar

conversación con personas que estan en interaccion con el objetivo.

  1. recursos que se pueden utilizar:
  2. teléfono
  3. correo
  4. electrónico
  5. físicamente
  6. internet

obtener

  1. números de teléfono secretos
  2. contraseñas
  3. cuentas de usuarios
  4. encargados de recursos humanos.

dumpster dive : revisar en la basura del objetivo en busca de información sensible, que de una u otra forma se descartó de manera incorrecta

localizar

  1. información sobre un objetivo
  2. listas de empleados y sus correos electrónicos.
  3. Tecnología que emplean, software, hardware.
  4. Rangos de direcciones IP
  5. servicios disponibles
  6. nombre de dominio

Las técnicas de reconocimiento de forma general se clasifican :

Pasivas:

En esta forma no se interacciona de forma directa con el sistema.

Activas

  1. Mapa de la red
  2. Equipo accesibles
  3. Sistemas operativos.
  4. puertos abiertos

SEGURIDAD

medidas de defensa:

  1. Políticas para proteger los activos
  2. Guía para conocer el uso de las  politicas
  3. Responsabilidades a cada usuario.
  • EXPLORACION

fase donde  se va  utiliza  la información recogida en la fase de reconocimiento

fase pasiva———————————–fase activa


  1. escáner de red , trazado de rutas
  2. escáner de host
  3. escáner de puertos y servicios (ejecucion, escucha)
  4. escaneo de manera sigilosa
  5. Comandos del sistema operativo
  6. vulnerabilidades
  7. Base de datos (whois ripe )

obtener

  1. software utilizado
  2. versiones del sistema
  3. Infraestructura en la red
  4. Routers y cortafuegos

Ping, Fping, Hping, Xprobe,P0f, Nmap,analisis metadatos, OSINT,traceroute,descubrimiento conDNS, dig

SEGURIDAD

  1. ejecutar los servicios y aplicaciones necesarias.
  2. IDS, si el escaneo se realiza muy rápido puede ser detectado
  3. Aplicar las actualizaciones a todos los paquetes que tenga disponibles
  • Enumeración

obtener más información sobre el objetivo ya identificado  y escoger las mas apropiadas para el acceso, en esta fase es donde el atacante ya esta en el objetivo


obtener

  1. conexiones activas al sistema
  2. peticiones directas (sistemas de seguridad)

enumeraccion

  1. Recursos de red
  2. Recursos compartidos
  3. Usuarios
  4. Nombres de grupos
  • acceso
  • El medio de ataque:
  • red inalámbrica
  • Internet
  • LAN.
  • obtener

    el acceso en el objetivo

    recursos

    1. una  vulnerabilidad
    2. Exploit

    Acceso

  • secuestro de sesión.
    • ESCALAMIENTO

    Lo que el atacante realizará después de obtener acceso a un sistema:

    • privilegios y derechos  en caso de que no sea administrador

    En esta fase el intruso intentara obtener otras formas de acceso.

    obtener

    1. agregar usuarios con altos privilegios
    2. robar contraseñas de otros usuarios

    recursos

    1. sniffers
    1. keyloggers
    2. rootkits
    3. troyanos

    Un rootkit es un conjunto de herramientas que le permite al atacante ocultar procesos, sesiones, conexiones

  • Eliminación del rastro

  • fase a todas las acciones que realizará el atacante para cubrir su rastro y poderincrementar el mal uso del sistema sin ser detectado. eliminacion de  evidencia del ataque

  • Una fase opcional en la que puede incurrir el atacante es colocar puertas traseras
    • puertas traseras

    Las puertas traseras son un método utilizado para regresar al sistema sin volverlo a explotar.

    1. esteganografía
    2. túneles en TCP.
  •  

     

    RECONOCIMIENTO EN PRACTICA

    como se dijo en el flujo consiste en Localizar, obtener, reunir y guardar  para la posterior exploración, muchos lo llaman vector de ataque pues un vector lo que en si es es un ente con una magnitud y una dirección, a partir de un  plano de referencia osea la analogia es: hay dos puntos  el inicial y el final osea

    atacante ————————————– objetivo

    el atacante parte de cero en el plano de referencia, el objetivo puede ser uno de  los infinitos puntos que hay en el plano de referencia, puede ser el mismo cero, osea el atacante mismo.

    pero son muchos verdad, hay que escoger uno, en este caso vamos a acotar el rango  y el dominio ……… (“parece clase de precalculo “).

    como la acotamos?   haciendo un analisis de requesitos y una especificación  de lo que se quiere  …..(“¡ ahora con ingenieria de sistemas….!”)

    aqui lo que hacemos es identificar ese punto, pero igual el atacante está en el punto cero, lo ideal es que la diferencia de ambos tienda a cero osea el atacante este en ese punto.

     

    cuando se habla de vector de ataque lo que se quiere decir es la identificación de ese punto “la direccion” y que tan lejos esta de llegar allí

    “magnitud”.

     

    después de identificado el punto osea “que es o quien es” se procede a hacer la arquitectura del plan para recoger información, se comienza hacer diagramas en la cual se muestre como y a donde hacer esta recolección teniendo el objetivo identificado, es la “fase de arquitectura”

    como

    1. información sobre el objetivo
    2. listas de empleados y sus correos electrónicos.
    3. Tecnología que emplean, software, hardware.
    4. Rangos de direcciones IP
    5. servicios disponibles
    6. nombre de dominio

    /*****una ayuda util INTERNET ,los archivos desechados  los equipos de computo que se formatiaron rápido, los mismos empleados…….entre otros.

    con respecto a los empleados muchos tienen conocimiento de no dar información pero caen cuando el atacante se hace la victima, por ejemplo el atacante dice soy tal y no confió en usted, no lo logro identificar?, la verdadera victima se identifica y a veces dice de mas.

    o por ejemplo el atacante sabe de la existencia de un amigo de la victima y sabe que no tiene una red social en donde la victima está, por ejemplo facebook, ademas sabe que no se han hablado desde hace tiempo o está lejos,  pues el atacante hace una suplantación de identidad y obtiene información.

    o aun peor se hace amigo de la victima con una foto y  nombre falso y comienza a chatear con él

    o tiene el nombre de uno de los administradores de red o sistemas  y busca que ha preguntado en los foros, lo ideal es que este administrador en este escenario se nombre con NICK que nadie sepa

    ***/

     

     

    pero antes se deben hacer pruebas pues lo que se desea es que esto sea lo mas exitoso, por ejemplo se hace una verificación de aquella información recogida, osea si se obtuvo un número de telefono se hace una verificación de él.

    después se hace una documentación para la posterior fase,  que es la fase de exploración y donde se utiliza las herramientas y técnicas

     

    un ejemplo con WHOIS en internet

    muestra mucha información verdad?

    …. y en ciertos casos muestra los name server….., donde podemos ver donde tiene alojado el sitio  entre otros.

    pero que podemos hacer con esto?

    /****buscar por internet el nombre de la persona que registró el dominio y aparecerá estudios, universidad, año de sus graduaciones, amigos en facebook,comentarios en foros, si tiene twiter todo lo que hace en el dia, si buscamos por imagenes en google lo podemos conocer, entre otras cosas ***/

    en todo caso se ha de recoger bastante informacion que nos permita identificar ese punto  y la una magnitud que nos permitirá saber que tan fácil o dificil será el costo.

     

     

    EXPLORACIÓN EN PRACTICA

    En esta fase nos basaremos de la fase anterior de la fase de reconocimiento donde identificamos el objetivo, si seguimos el esquema que planteé del plano cartesiano en esta fase el atacante esta en el mismo punto del objetivo pero sin tocar el punto, aquí lo que se hace es recolectar información para tener acceso y poder estar dentro del punto.

     

    que podriamos hacer ahora?

    utilizar técnicas y herramientas para lograrlo

    un ejemplo es el comando dig en linux con la que tenemos informacion apartir de un dominio

    que clase de información ?

    la ip  publica con la que se utilizara para hacer un escaneo de puertos con nmap

    en la foto siguiente hice una práctica en la cual puse un registro tipo A que direccionaba a la ip publiaca que tengo en este momento, esto en  el registro de dominio xxxxxxxx , en el router que tengo en el punto de demarcación puse a direccionar la entrada por el puerto 80 a una de las maquinas dentro de la LAN

     

    mi objetivo es este

    en la consola digito  dig   dominio

    forma de ataque:

    y este también tiene dos puntos

    fase pasiva———————————--fase activa

    entre mas se acerque a la fase activa mas contacto habrá con los dispositivos  del objetivo.

    ejemplo en los ataques pasivos , se intersecta, se averigua, se copia en cambio en el actvo se modifica, se suplanta, se altera

    otras herramientas puenden ser traceroute, hping , utilizando sniffer entre otros

    En fin en esta fase se intentará recoger toda la información posible como para decir, lo tenemos rodeado…………

     

     

     

    ENUMERACION EN PRACTICA

    En esta fase ya el objetivo  identificado esta rodeado, lo que hay que hacer es estar en el punto del objetivo, osea entrar al sistema, bueno sigilosamente, por eso todo el análisis previo………

    esta fase es la mas compleja, pues en esta fase es donde se identificará en que parte de ese punto que estamos rodeando es el mas apto para lograr ingresar, ……/***osea como lograr tocar el punto***/……

    En herramientas como back track lo llaman penetración del sistema,,,

    en esta fase se podrian hacer uso de dos formas  teniendo en cuenta  el flujo  de seguridad,

    /***** por eso es tan importante conocer esto,,, en comunidades lo  llaman hacking ético. aunque lamentablemente hay forajidos,

    …….. pero forajido son los que andan huyendo de la justicia? …..si es cierto pero en mi criterio la  realidad de  justo en este escenario  es que se útilice esto como pasos para asegurar no    para  hacer otras cosas,,,,, enconces si huyes de esto , que eres? ***/

     

    una de las formas es conseguir o crear  un exploit  que aprovecha una vulnerabilidad de un servicio que tal vez se logró conseguir en la fase anterior, una herramienta puede ser nessus en windows como RETINA, Metasploit framework

    otra es obteniendo los password,,, como?  por ingenieria social, por habilidad en la consola, por algunas herramientas como HYDRA, BRUTUS, en windows como john the riper , cain & abel, userinfo, userdump, entre otros

    o hacer uso de keylooger que graban todo lo que un usuario digita en el teclado.

     

     

    ……….

     

     

     

     

     

     

     

     

     

     

     

     

     

     

     

     


     

    Leave a Reply

    Fill in your details below or click an icon to log in:

    WordPress.com Logo

    You are commenting using your WordPress.com account. Log Out / Change )

    Twitter picture

    You are commenting using your Twitter account. Log Out / Change )

    Facebook photo

    You are commenting using your Facebook account. Log Out / Change )

    Google+ photo

    You are commenting using your Google+ account. Log Out / Change )

    Connecting to %s