Trabajo sobre seguridad en Internet

Publicado en Artículos de Interés

Trabajo sobre seguridad en Internet

Sistemas de Información Empresarial

HACKERS Y CRACKERS

Son dos conceptos distintos:

Hackers: suelen ser programadores con conocimientos avanzados de sistemas operativos y lenguajes de programación que descubren fallos de seguridad que no usan para hacer daño. Para eso escriben programas para chequear la integridad de otros programas.

Cracker: agrede la integridad del sistema desde máquinas remotas. Raramente escriben sus propios programas, sino que usan aplicaciones ya hechas.

¿DÓNDE EMPEZÓ TODO? (Mediados-Finales 70`s en EEUU)

Empezó con el phreaking (aprender cómo funciona el sistema telefónico para engañar a la compañía). Simulaban con una máquina el sonido del dinero al caer en la cabina y realizaban llamadas gratis. Después se combinó el phreaking y la programación. Los phrekers buscaban líneas interesantes para machacar y a veces se encontraban módems a través de los cuales entraban en internet.

TRABAJO SOBRE SEGURIDAD EN INTERNET


2 Noviembre 1988: los hackers consiguieron llamar la atención soltando el primer gusano por la red. Este es un programa que hace copias de si mismo e infecta otras máquinas. En cuestión de horas había un montón de máquinas infectadas. El gusano fue desarrollado desde el instituto de tecnología de Masachusets pero los loggin files no funcionaron por lo que el canalla no dejó huella. Finalmente lo pillaron investigando de forma tradicional (existe un retrato robot de él). Ese día fue el principio de la preocupación por la seguridad en internet y marcó la diferencia entre cracker y hacker.

SITUACIÓN ACTUAL: UNA RED EN GUERRA
La situación actual es totalmente distinta a la de hace diez años. Los 2 grupos tienen posiciones encontradas: los crackers luchan furiosamente para que se les reconozca atacando sitios, en un alarde de conocimientos técnicos, mientras que los hackers trabajan en el desarrollo de nuevos métodos de seguridad para parar a los crackers. ¿Qué está pasando? Los crackers lo tienen cada vez más difícil debido a la entrada de grandes empresas en la red que demandan e instalan herramientas de seguridad lo que hace que surjan empresas dedicadas a la seguridad.


CABALLOS DE TROYA

¿QUÉ ES UN CABALLO DE TROYA?

Un caballo de troya es:

• Código desautorizado contenido en un programa legal. Este código desautorizado realiza funciones desconocidas (probablemente desagradables) para el usuario.

•Cualquier programa que realiza una función necesaria y correcta pero que (por tener un código desautorizado) realiza funciones desconocidas (probablemente desagradables) para el usuario.

Las funciones desautorizadas que el caballo de troya puede realizar están calificadas de estrategias perjudiciales. Los virus son un ejemplo de caballo de Troya. Algunas veces un virus no tiene porqué ser ocultado por un programa, en estos casos se puede denominar tanto como virus como caballo de Troya. El fichero que abriga un caballo de Troya/Virus tiene la efectividad de un caballo de Troya.

La seguridad clásica en internet para los documentos define los ámbitos de un caballo de Troya en varios caminos. Quizás es mejor conocer la definición en RFC1244,:

Un caballo de Troya puede ser un programa que hace algo útil o sencillamente algo interesante, Siempre hacen algo inesperado como robar password o copiar ficheros sin autorización.

Dr. Alan Salomon, un especialista en virus de renombre internacional, en su trabajo titulado "All about Viruses" da otra definición más conveniente:

Un caballo de Troya es un programa que hace algo más de lo esperado por el usuario, y cuyas funciones extraordinarias son peligrosas. Esto provoca un problema en detectar los caballos de Troya. Supongamos que yo escribo un programa que puede detectar infaliblemente cualquier otro programa que formatee el disco duro. Entonces, se puede decir que ese programa es un caballo de Troya? Obviamente no, si el otro programa es supuestamente para formatear el dico duro (como el Format, por ejemplo), entonces no es caballo de Troya. Pero si el usuario no esperaba el formateo, entonces es un caballo de Troya. El problema está en ver que programas realizan funciones esperadas por el usuario. De ahí que no se pueda determinar que es lo que el usuario espera del programa.

Como propósito general, se puede clasificar un caballo de Troya, como cualquier programa que realice encubrimientos y funciones no deseables.

Un caballo de Troya puede venir de cualquier forma. Como una palabra de un procesador o una utilidad de trabajo en red, como un código de desbloqueo de un software, etc.

¿DESDE DÓNDE PUEDE LLEGAR UN CABALLO DE TROYA?

Los programadores crearon los caballos de Troya con una mala intención. En algún lugar del planeta algún programador está creando ahora un caballo de Troya. El programador sabe exactamente que hará y sus intenciones pueden o no ser altruistas, pero seguro que son maliciosas.

Los creadores de caballos de Troya normalmente tienen una agenda, la cual no sería de importancia si no fuera porque en el contexto de la seguridad en internet, puede ser usada para hacer un par de cosas:

1) Realizar alguna función que le revele al programador información vital y privilegiada sobre un sistema comprometiéndolo.

2) Ocultar alguna función que haga lo anterior. Algunos caballos de Troya hacen las dos. Actualmente, otras clases de caballo de Troya causan daños en las tarjetas (por ejemplo se puede encriptar el formateo del disco duro). Los caballos de Troya suelen estar bien diseñados para ser capaces de penetrar coleccionar información o sabotear un sistema.
Ejemplos de caballo de Troya:

-Caballo de Troya PC CYBORG:

Es un caballo de troya diseñado para el sabotaje. Su funcionamiento es el siguiente: entran en el sistema y sustituye el AUTOEXEC:BAT y se puede llegar a contar hasta 90 infecciones en el sistema de inicio. Las nuevas versiones de PC CYBORG dañan la unidad C.

-Caballo de Troya AOLGOLD:

Es distribuido por Usenet através de email. El programa se suponía que era un software para acceder a América Online (AOL). La distribución consistía en un archivo que, cuando los descomprimias, aparecían 2 ficheros. Uno de ellos era un standar INSTALL.BAT. Ejecutando el Install.bat se expandían 18 ficheros. De estos 18 ficheros Video.drv (el fichero del virus.bat) al ejecutarse borra el contenido de directorios importantes de la unidad C.

C:\    C:\QUEMM
C:\DOS    C:\STACKER
C:\WINDOWS   C:\NORTON
C:\WINDOWS\SYSTEM


Cuando las macros del virus han terminado se ejecuta un ordinario mensaje contenido en DommDay.exe

Los programadores Amater desarrollan los caballos de Troya (probablemente chicos que quieren causar problemas) destructivos, los que realizan colección de información o los que realizan infiltraciones poco sofisticadas.

A veces los caballos de Troya son desarrollados dentro de la legalidad. En esas situaciones se inserta un código extra dentro de una aplicación o utilidad (o en raras ocasiones, operaciones sobre el mismo sistema).

Esas operaciones están lejos de ser peligrosas:

-esos caballos de Troya no son destructivos, su existencia suele estar oculto hasta que son descubiertos por accidente.

-los sitios web que verdaderamente están comprometidos son aquellos que proporcionan cientos o miles de accesos a internet para usuarios. Estos sitios web suelen ser gubernamentales o educativos y se diferencian de los que son mantenidos por pequeñas compañías. Con una pequeña compañía el peligro para ella y para sus usuarios generalmente queda bastante lejano. Esa es una cuestión seria, pero sólo es relevante para esas compañías. Al contrario, el compromiso de los sitios gubernamentales o educativos puede colocar miles de computadoras en riesgo.


La mayoría de las veces, los programadores no pueden hacer nada con el desarrollo de utilidades comerciales UNIX que no tienen involucradas referencias de seguridad. Y por tanto incrementan las posibilidades de contener caballos de Troya, por ejemplo en la distribución de Satán 1.0 para linux se descubrió que contenía un caballo de Troya.



¿DÓNDE PODRÍA ENCONTRARSE UN CABALLO DE TROYA?


Los caballos de Troya pueden aparecer en casi cualquier sitio, en alguna aplicación, o en algún sistema de operaciones. Por esa razón, se debe ser cauteloso en el software que se baja de internet, particularmente el software descargado de servidores poco fiables o de Usenet.

De cualquier forma, la mayoría de las veces no necesitas viajar a través de oscuros y prohibidos caminos para encontrar un caballo de Troya. Estos aparecen en los mayores distribuidores de Redes. Por ejemplo, en 1994 el caballo de Troya WUFTPD. El problema con este caballo de Troya fue tratado con una alerta del CIAC:

CIAC recibió información sobre que algunas copias de wuarchive FTP daemon (ftpd) versiones 2.2 y 2.1f habían sido modificadas y que contenían un caballo de Troya en el código fuente. Este caballo de Troya permitía a cualquier usuario, remoto o local, llegar a estar en Modo Supervisor en sistemas ftpd. Se pedía a los usuarios de este software que desinstalasen las versiones anteriores a 2.3, ya que estas podían contener caballos de Troya, e instalasen la versión 2.3, que había sido revisada.


WUFTPD es el servidor ftp más usado del mundo. El caballo de Troya afectó a miles de sitios web tanto públicos como privados. Muchos de esos sitios están en riesgo porque sus administradores de sistema no están concienciados en el tema de seguridad tanto como deberían.


Aquí hay descritos algunos ejemplos de caballos de Troya:

• StuffIt 4.5 Tojan: Apareció al final de 1997. StuffIt es un programa popular de manejo de archivos, usado inicialmente en MACs. Durante la instalación del programa borra algunos ficheros clave del sistema.

• AOL Password Trojan: Apareció a mediados de 1997. Algunos caballos de Troya desarrollados podrían revelar tu nombre de usuario y el password y ceder esta información a AOL. Los usuarios de AOL no están advertidos de que descargar alguno de los 106 diferentes que hay afectará a su sistema de archivos.

• El AOL4FREE Trojan: Aparece en abril de 1997 se desarrollaron los llamados AOL4FREE.COM (no deben ser confundidos con los virus Aol4free). El caballo de Troya (el cual es una herramienta para proporcionar un acceso desautorizado a AOL sobre cualquier sistema) destruye las unidades de disco duro de la máquina afectada.


¿CÓMO SON DESCUBIERTOS LOS CABALLOS DE TROYA?

Los caballos de Troya son descubiertos tan a menudo porque son una de las mayores preocupaciones de seguridad. Los caballos de Troya son bastante insidiosos, porque después de ser descubiertos pierden su efecto. Los caballos de Troya son como los snifers (fisgones) en ese sentido. Realmente no podemos calcular el alcance que tienen los caballos de Troya en el ataque a un sistema y esa es una cuestión muy seria. Una razón es que los caballos de Troya golpean el sistema de cualquier máquina. Sin importale el lenguaje en el que esté descrito. El código de los caballos de Troyano está escrito en un lenguaje que pueda ser humanamente leído desde cualquier máquina con una herramienta de depuración. La compilación de un caballo de Troya se hace en ficheros binarios. Otra razón de la dificultad de descubrir los caballos de Troya es que ellos no anuncian su presencia. Simplemente realiza su cometido tranquilamente y eficientemente. Además muchos caballos de Troya están tan bien definidos que se mantienen ocultos en el sistema esperando ser ejecutados Por eso no se pueden detectar listando los procesos ejecutados en un momento dado.


De cualquier manera antes de empezar a buscar caballos de Troya en tu sistema debes tener causas para creer que existe uno. También hay que saber donde empezar a mirar. Eso depende de la experiencia del usuario. Aquellos que conocen poco sus sistemas es poco probable que profundizando aventuradamente en su estructura de directorios, o buscando ficheros sospechosos encuentre un caballo de Troya. Incluso para programadores experimentados puede ser muy dificultoso identificar un caballo de Troya incluso cuando el código es accesible para su examinación. (Esto es especialmente verdad si el caballo de Troya está escrito en un lenguaje de programación poco conocido. Es imposible detectar para un programador de Basic un caballo de Troya escrito en Perl).


¿QUÉ NIVEL DE RIESGO REPRESENTAN LOS CABALLOS DE TROYA?


Los caballos de Troya representan un alto nivel de riesgo, principalmente por las razones que ahora vamos a describir:
- Los caballos de Troya son difíciles de detectar.
- En muchos casos, los caballos de Troya son encontrados en ficheros binarios, haciendo humanamente imposible leerlo desde un depurador.
Los caballos de Troya pueden comprometer totalmente un sistema. Un caballo de Troya puede estar en un lugar durante semanas o incluso meses antes de ser descubierto. En ese momento, un craker con privilegios adquiridos de Modo Supervisor puede alterar la entereza del sistema si lo necesita.

¿CÓMO SE DETECTA UN CABALLO DE TROYA?

Detectar un caballo de Troya es relativamente fácil si provees a tu sistema de los mejores servicios de seguridad, si no detectarlo puede ser una tarea realmente difícil. La mayor parte de los métodos de detección descansan sobre los principios llamados "object reconciliation", que trabajan de la siguiente forma: "objects" son los ficheros y directorios, "reconciliation" es el proceso de comparación de esos objetos antes y después de una fecha determinada.

Este método es simple y consiste en testear la integridad de los ficheros para así detectar cambios en la información que contenían. Se examina el rango de integridad de los diferentes ficheros de forma primitiva pero sofisticada. Por ejemplo: tu puedes testear la integridad de cualquier fichero siguiendo alguno de estos casos:

- la última fecha ha sido modificada
- la fecha de creación del fichero
- tamaño del fichero.


Desafortunadamente, todos estos métodos son insuficientes. Ahora explicaremos porqué:

Cada vez que un fichero es alterado sus variables cambian. De cualquier manera esa fecha puede ser manipulada fácilmente. Examinar las manipulaciones en los programas del PC, ¿es muy difícil? Cambiar la hora del sistema, editar ficheros y archivar ficheros son acciones que cambian la hora. Por esa razón es difícil comparar ficheros tomando en cuenta la fecha.

Otra forma de chequear la integridad de un fichero es examinando su tamaño. De cualquier forma ese método es extremadamente irrealizable porque el tamaño es un valor fácilmente modificable. Es fácil comenzar un fichero con tamaño de 1,024KB y terminarlo con el mismo tamaño, incluso después de editarlo. Aun así, este proceso es más complejo cuando se alteran ficheros binarios. Aunque, estos ficheros casi siempre implican la inclusión de funciones especiales de librerías sin las cuales el programa no funcionaría. Por lo tanto manteniendo las funciones indispensables del programa , se puede encontrar la ubicación del código del caballo de Troya.

El caso más fácil es aquel en el que el caballo de Troya modifica ficheros clave en el sistema (por ejemplo csh en UNIX o el command.com en DOS). Estos ficheros fueron instalados inicialmente en el PC y tienen una fecha y tamaño determinados. Por tanto es fácil comprobar si han sido modificados.

Los programadores de caballo de Troya saben esto. Por lo tanto su trabajo es examinar el código fuente de esos ficheros y comprobar que hay en ellos que sea imprescindible, los crackes podrían borrar comentarios y texto que no fuese esencial en el fichero, introducir el código desautorizado y recompilar el fichero. El cracker examina el tamaño del fichero, si es más o menos largo se pueden comenzar el proceso otra vez hasta que el tamaño coincida con el original. Esto hace pensar que no hay ninguna técnica suficiente. Pero existe una técnica bastante potente, que implica el uso de distintos algoritmos que calculan los "digital fingerprint". Esta técnica está basada en una de las implementaciones más populares de algoritmos de seguridad: el sistema llamado MD5.


SNIFFERS

(fisgones, husmeadores)

¿Qué son? dispositivos que capturan los paquetes de la red para analizar el tráfico e identificar áreas potenciales de interés. La mayoría analiza los protocolos: Ethernet, TCP/IP, IPX, DECNET. Son una combinación de hardware y software.

Los fisgones como riesgo para la seguridad

Para husmear los paquetes, ponen el interfaz de red en modo promiscuo. Para entender qué es esto, antes hay que cer cómo están diseñadas las redes locales.

Redes locales y tráfico de datos:

LAN´s son redes pequeñas conectadas vía Ethernet. La información va por cable. Tipos de cable: 10Base-2: cable coaxial fino 200 m 10 MB/s.
10Base-5: cable coaxial grueso 500 m 10Mb/s.
10Base-T: cable UTP 500 m
100Base-T: 100MB/s fibra óptica.


Los datos viajan en pequeñas unidades (marcos o frames). Estos marcos llevan información tal como origen, destino, cabeceras, etc.
Transporte de paquetes y entrega:

Cada máquina tiene una dirección única que la distingue de las demás. Cuando mandas un paquete por la red, los paquetes llegan a todas las máquinas, pero sólo responderá aquella a la que vaya dirigido. Si el interfaz de red de la máquina está en modo promiscuo, esta capturará todos los paquetes de la red. Una máquina que funcione de esta forma es un fisgón.

¿Qué riesgo representan los fisgones?

Los fisgones son un riesgo porque:

- capturan claves.
- capturan información confidencial.


¿Qué información capturan los fisgones?

Suelen capturar 200-300 bytes de cada paquete ya que si capturasen todo se les llenaría el disco duro porque se transmiten miles de paquetes por minuto. En esta porción es donde suele estar la clave y el nombre de usuario.

¿Dónde colocarlo?

Se suele colocar en puntos estratégicos como las máquinas o redes que reciben muchas claves. La evolución de la técnica permite que los mensajes se mande codificados, lo que añade dificultad al pirata. Hay dos tipos de fisgones:


- comerciales.
- gratis.


Defendiéndose de un ataque de un fisgón

Hay dos formas:

- detectándolo y eliminándolo.
- protegiendo tus datos del fisgón.


Detectándolo y eliminándolo

Son muy difíciles de detectar porque son pasivos (residentes) y consumen muy pocos recursos. A esto se une la dificultad añadida de trabajar con redes heterogéneas. Un mapa de topología de red que compruebe los cambios en la red a diario podría detectar el que alguien desenchufe un PC y conecte otro para usarlo como un fisgón o que alguien pinche un PC en un cable. Sin embargo, es mejor prevenir que curar y sobre todo más barato por lo que será mejor defenderse. Hay dos formas de defenderse:

- tener una topología segura.
- mensajes encriptados.


Topología Segura

Cuanto más impermeabilizas la red, más difícil es para el fisgón, pero esto suele ser muy caro porque requiere hardware muy caro. Hay 3 interfaces que un fisgón no puede cruzar:


- conmutadores
- enrutadores
- puentes


Se pueden crear segmentos seguros (o impermeables) situando estratégicamente estos dispositivos. Una buena elección puede ser meter 20 máquinas entre alguno de estos dispositivos y chequear cada segmento 1 vez al mes. Esta técnica de segmentar sólo es práctica en redes pequeñas por razones de coste. Si la red es grande, mejor usar mensajes encriptados.


Mensajes Encriptados

Permiten que aunque haya robo de datos, no le sirvan de nada al fisgón al estar encriptados. Desventajas:

- técnica. Puede que la encriptación no sea lo suficientemente fuerte o que no la soporte alguna máquina.

- humana. La gente se resiste a usarla porque la ve como un engorro.
Una buena solución es encontrar el término medio entre aplicaciones que soporten una encriptación en los 2 sentidos y que presenten una interfaz amigable.



PLATAFORMS AND SECURITY

The hole

EL CONCEPTO DE HOLE (AGUJERO O FALLO DE SEGURIDAD)

Un hole ES UN DEFECTO EN EL hardware, software, o políticas que permite a los atacantes conseguir accesos no autorizados a otros sistema.
A lo largo de cualquier semana determinada, surgen entre 15 y 30 HOLES. Estos pueden afectar una amplia gama de herramientas de red, incluyendo:
Routers

Clientes y servidores software

Sistemas operativos

Firewalls

Parte de su trabajo es administrar la red, conociendo cuando surge algún HOLE y que impacto tiene en nuestro sistema.


Sobre los timeliness

Para asegurar tus sitios Interner y la red, necesitamos una mayor información, de hecho, lo ideal sería poder asegurar la red contra los HOLES minutos u horas después de su aparición. (Puede estar seguro que los Crackers usarán esos HOLES en la mitad de ese tiempo).

Para comprender la importancia de los Tímeles, debemos considerar que: En 1.995 se descubrió que la línea de login en IRIS 6.2 tenía un password por defecto. Esta información fue telegrafiada al grupo de noticias de los cracker en cuestión de horas. Por la media noche de esa misma tarde, los crackers pudieron descubrir las máquinas vulnerables que usaban motores de búsqueda de WebCrawler y AltaVisa. Durante esas horas que siguieron a la mañana, cientos de host estuvieron comprometidos.

El manejo de una red con conexión a Internet es muy diferente a la administración de cualquier LAN cercana. En una red cerrada, se tiene el lujo de poder investigar a los usuarios. Así se tiene un número limitado de atacantes y además estos usuarios tendrán restringidos el acceso al número de horas del negocio. En contraste, cuando administramos una red con conexión a Internet, podemos ser atacados por ser atacados por alguien desde cualquier sitio y en cualquier momento.

Además, en Internet, frecuentemente los atacante trabajan desde otra red. Por lo tanto, nos veremos las caras con un ejercito maléficos usuarios, los cuales tienen información al instante de nuevas técnicas de ataque.
Para combatir esta situación, necesitaremos que nos echen un cable del exterior.


Como surgen los holes.

Un Hole no aparecer repentinamente por si mismo; alguien tiene que descubrirlo. El descubrirlo forma parte de una de los siguientes tres grupos:

Hackers
Crackers
Empresa de Seguridad.


Aunque estos tres grupos tienen misiones distintas, ellos tienen algo en común: pasan casi todo el tiempo buscando Holes.

Normalmente, esta gente son programadores o administradores de sistema los cuales testean la seguridad de varias aplicaciones y sistemas operativos. Cuando ellos encuentran un Hole, Transmiten la información a distintas personas, dependiendo de la función que realicen.

Los Hackers y las empresas de Seguridad generalmente avisan a los miembros de seguridad. En cambio los Crackers, pueden no avisar.

Normalmente, ellos distribuiran la información entre su gremio.

Dependiendo de cómo se distribuya la información, se hará publica en distintos lugares. Por ejemplo, si un cracker distribuye la información, donde primero se advierte la publicación es en los servidores craqueados. Por el contrario, si un hacker distribuye la información, surge en seguridad y boletines de advertencias.

Internet tiene centralizada la aparición de información de seguridad al instante. Parte del trabajo del administrador de la red es revisar la información, el problema es que mucha información de la red no esta relacionada con la configuración especifica de la red. Por lo tanto, necesitaremos desarrollar una estrategia para analizar y extraer esa información para poder interpretar el significado de esa información.
Mirar el data monster

Si nos suscribimos a una lista de seguridad, inmediatamente descubriremos que los miembros son simplemente usuarios de la red. Esta decisión es un gran problema, su buzón se llenará de 100 mensajes diarios, cuando únicamente 12 de ellos tienen información válida, el resto serán argumentos Spam. Podemos pensar que esto no sea un serio problema, pero si lo es. Si usamos una red heterogénea, necesitaremos suscribirnos a varias listas. De esta forma si el promedio de mensajes por lista es de 30 mensajes al día, podríamos acabar recibiendo una media de entre 150 y 300 mensajes diarios.


Algunas sugerencias de ayuda:

Compartimiento. Antes de unirnos a una lista de envío, debemos preparar nuestro sistema para realizar el compartimiento. Debemos establecer un apartado para el correo antiguo. Deberemos asignar una dirección de Email para cada envío de la lista que nos hemos unido. Por ejemplo, crearemos una cuenta NTSEC, SUNSEC y HPUXSEC para recibir el correo relacionado con NT Segurity, Sun segurity, y HP-UX segurity. Si no tenemos una conexión permanente a la red, también podremos establecer una dirección de correo electrónico. Muchas compañías ofrecen correo electrónico gratuito.

Suscribirse a un grupo moderado. La mayoría de las listas de envío ofrecen una versión moderada de su lista. Estas versiones generalmente tienen un menor radio de Noisse-to-signal. En otras palabras, los mensajes y correos se editan con anterioridad a la distribución, es decir, fuera . Por tanto la información recibida es más relevante y pertinente.

Se necesita mucho tiempo para automatizar, por lo menos el análisis de advertencias y mensaje de lista de envío. Así por ejemplo, si mantenemos una red funcionando con tres o cuatro plataformas, la cantidad de correos de seguridad recibidos al día puede ser mayor al que tu puedas leer. Para esto sirve la automatización, por lo que se recomienda PERL.


¿Cuánta seguridad necesitamos?

Realmente es necesaria toda la información de estas listas?

Probablemente. La mayoría de los vendedores esperan estratégicamente los momentos más favorables para distribuir los parches. Por lo tanto, cada cierto tiempo se consigue un CD-ROM con parches, su sistema puede tener de una 30 a 100 parches. Interiormente, nuestro sistema no es seguro del todo. Si no se mantiene este desarrollo, al menos, semanalmente, actualizarlo a la fecha puede ser una tarea muy costosa. Podemos concluir que es nuestra responsabilidad el obtener la información de seguridad. Si consigue entrar un cracker en nuestra red, nosotros seremos los culpables. Así deberemos guardar información sobre los desarrollos recientes.


General source.

La siguientes fuentes tienen información al instante e información legal.
The Computer Emergency Response Team (CERT)

Fue establecida en 1.988, siguiendo los incidentes Morris Worm. Desde entonces, CERT ha emitido cientos de avisos de seguridad y ha respondido alrededor de 200.000 informes de Internet sobre Break-ins.

CERT no solo emite avisos donde aparecer una nueva vulnerabilidad, también:


- Tiene un servicio de llamada de 24 horas al día, para ofrecer información vital a aquellos que hayan sufrido un Break-in.

- Usa los sitios Web para proveer valiosa información de seguridad, nueva y antigua (incluyendo información desde 1.980).

- Publica un informe anual que puede dar gran conocimiento sobre estadísticas de seguridad.

The US Departament of Energy Computer Incident Advisory Capability (CIAC).

CIAC fue establecida en 1.989. CIAC mantiene una base de datos con material relacionado con la seguridad, aunque la mayor parte de la información de la casa CIAC es disponible en las publicaciones que realiza ésta.

CIAC es una excelente fuente de información. Algunas de las fuentes de las que dispone son:

- Una base de datos sobre virus. Esta base de datos contiene una especificación y descripción de miles de virus. Incluye un listado de los nombres de los virus, tipos, localización en el disco, impacto… Frecuentemente, se encuentra información adicional, incluyendo información de identificación, Checksums, y métodos de detección y eliminación de estos.

- Boletines de seguridad. Los boletines de seguridad de CIAC son muy parecidos a los avisos de CERT (Vistos anteriormente). Estos boletines describen particularmente la vulnerabilidad y posibles soluciones. CIAC tiene un motor de búsqueda bastante bueno, por tanto puedes rastrear boletines pasados o buscar información interesante.

- Documentos de Seguridad. CIAC tiene una interesante colección de documentos de seguridad. Algunos son originales (por ejemplo, como asegurar X Windows) y otros considerando la información que se tiene, (tal como un lista de enlaces sobre información de seguridad). La mayoría de éstos se encuentran modo texto y en formato PDF.

The National Institute of Standards and Technology Computer Security Resource Clearinghouse (NIST CSRC).

El sitio Web de NIST CSRC ofrece una considerable lista de publicaciones, herramientas, organizaciones y servicios de soporte. En particular, las siguientes fuentes pueden ser de una extremada ayuda:

- NIST Information Technology Laboratory (ITL). Boletines de seguridad de computadores. Los boletines de ITL cubren una gran variedad de temas de actualidad de gran interés. Aunque raramente los documentos ITL se reparten con información específica sobre vulnerabilidad, valoran los últimos desarrollo de la tecnología sobre seguridad.

- Borradores CSRC. Contiene importantes investigaciones sobre seguridad, conducido por NIST y en otros lugares. Estos documentos pueden ayudarnos para definir los planes y políticas de seguridad. En particular, CRSC contiene una multitud de documentos sobre políticas de seguridad.

- La búsqueda CSRC. Nos ofrece un motor de búsqueda, con información de enlaces de una amplia variedad de agencias y fuentes.

The US Department of Defense (DoD) Network Information Center
Fue fundada por The Defense Information Systems Agency’s Defense Networks Organization (DISA DNSO). Su propósito principal es diseminar información importante de seguridad en la red. (Principalmente las agencias del gobierno).

La principal atracción del DoDNIC son los boletines de Defense Data Network. Los boletines DDN ofrecen avisos de seguridad al instante. Estos archivos se encuentran en http://nic.ddn.mil/SCC/bullentins.html. Este sitio web incluye un motor de búsqueda por lo que puedes buscar avisos particulares.


The BUGTRAQ Archives

Estos archivos contienen todos los mensajes enviados al correo de BUGTRAQ. La mayoría de estos mensajes describen HOLES de sistemas operativos UNÍS. El sitio es de particular interés porque las características de búsqueda de Glimpse, el cual permite buscar el archivo en diferentes caminos.


La lista de BUGTRAQ son una excelente fuente porque no nos inundan con una cantidad de información irrelevante. La mayoría de los correos son cortos y con carácter informativo.

BUGTRAQ es posible que sea la mejor fuente en Internet con información sobre la vulnerabilidad de los sistemas UNÍS.
URL: http://www.geek-girl.com/bugtracq/search.html




MICROSOFT

En los recientes años Microsoft se ha caracterizado por tener productos con una mala reputación en lo referente a seguridad. Pero esto no es totalmente cierto.

DOS
Microsoft Disk Operating System es el sistema operativo para ordenador personal más popular del mundo. Es sencillo, requiere poca memoria, y tiene pocos comandos. De hecho DOS 6.22 tiene aproximadamente 1/16 del número de comandos ofrecidos por la versión primaria de UNIX.
Aunque la popularidad de MSDOS ha disminuido en los últimos años, muchas familias todavía lo usan.

IBM: Compatibles en General
MSDOS se ejecuta sólo en hardware compatible con IBM. Las arquitecturas compatibles con IBM no están diseñadas para la seguridad. Eso hace que el sistema de MSDOS sea vulnerable a un ataque. Ese ataque comienza con el password de la BIOS.

El Password de la BIOS
Puede ser desactivado por cualquier acceso físico al sistema. Para desactivar la protección del password de la Bios: borra, corat o desconecta la batería del CMOS del panel principal, entonces el password se borra, un cracker puede sacra provecho de esto y acceder al sistema. Esto puede comprometer a una estación de trabajo en red. Aunque este sistema no es el único para obtener el paso de la Bios, también hay herramientas para obtener el password, por ejemplo:

-BIOS password-capturing utility
-Amiecod
-Ami.com
-Aw.com

Una vez dentro, el cracker para poder sacarle provecho al acceso tiene que obtener los Ids y los passwords. Para hacer eso usan las utilidades de Key-capture.

Key-Capture Utilities
Las Key-Capture Utilities capturan las teclas después de haber sido pulsadas. Esas "keystrokes" son guardadas dentro de ficheros ocultos.

El directorio donde los keystrkes están capturando datos puede estar también oculto. Enla siguienet tabla hay unos cuantas utilidades de Key-capture disponibles para MSDOS:

Herramienta

Características

Keycopy Captura 200 teclas a la vez en distintos entornos WordPerfect, MultiMate, Norton Editor y cualquier entorno con una linea de comandos estándar.

PlayBack Graba y reejecuta el tecleo de la misma manera que fue pulsado. Es bueno para las simulaciones.
Phantom 2 Captura las teclas pulsadas en cualquier entorno.
Keytrap Poderoso capturador de teclas que puede ser ejecutado a cualquier hora específica del día.


WINDOWS PARA TRABAJO EN GRUPO Y WINDOWS 95

Windows para trabajo en Grupo y Windows 95 tienen sólo un poco más de seguridad que Dos. Ambos confían en el sistema de ficheros PWL. Estos ficheros son creados cuando activas el password. Los ficheros PWL no son un sistema de seguridad fiable ya que simplemente los derrotas borrándolos.

Crackeando los ficheros PWL

Para ello se usa una herramienta en Windows 95. Esta herramienta es llamada Glide. Se examina el código fuente del fichero interesado. Usando Glide, se le introduce el nombre del fichero PWL y el nombre de usuario asociado a él. Glide es bastante efectivo y se puede encontrar online aqui:


HTTP

Tiene un amplio rango de puntos de seguridad, de los cuales veremos unos pocos.

El primero, httpd no funciona en la raíz. Las caídas de los programas CGI permiten ataques remostos para ejecutar arbitrariamente código won el UID de le servidor http. Si este servidor está funcionando en la raíz, pondremos en un compromiso el sistema entero.

Podemos considerar la posibilidad de ejecutar httpd con un proceso chrooted. Algunas consultas sugieren que esta forma proporciona una gran seguridad.

La mayoria de nuestro usuarios dependen de si se le permite o no el acceso al servidor Web y sus servicios. Algunos ISP no permite el acceso. El negocio típico son 10MB de espacio FTP pero no CGI. De hecho, la mayoría de ISPs actualmente no permiten el acceso al shell.
Si ofrecemos tales servicios, podremos tener nuestras propias políticas. Por ejemplo, in ISP que permite CGI solamente si el desarrollo del código puede leerse con claridad antes de lanzarlo. Este enfoque tiene ventajas y desventajas, como que podremos ver cada línea del código en el servidor. La pregunta que nos hacemos ahora es ¿Quién chequea realmente todo este código?.

La solución es usar programas como CGIWRAP, el cual automatiza el proceso que desempeñan las siguientes funciones:


- Chequea el CGI por los Holes.
- Registro de todos los acceso al Script.
CGIWRAP fue implementada por Nathan Neulinger en 1.995. Podemos encontrarla en: ftp://ftp.cc.umr.edu/pub/cgi/cgiwrap



ATAQUES REMOTOS

¿QUÉ ES UN ATAQUE REMOTO?
Cualquier ataque contra una máquina remota.
Primeros pasos
El primer paso requiere poco o ningún contacto con el objetivo. El problema es obtener la información:
- cómo es la red
- posibles puntos débiles
- quien usa la red
- dónde se conectan
Esta información es fácil y rápida de conseguir.

Echando un vistazo a la red

Una buena forma de empezar es haciéndole una consulta al host, esto nos dará un montón de información. A partir de esto, cogemos un objetivo e intentamos conseguir un nombre de usuario válido con el comando finger. Esto es fácil en redes públicas como por ejemplo las de las universidades, pero no es fácil en redes privadas. Después de usar varias técnicas para obtener el nombre de los servidores un cracker se irá a otros servicios de la red. Uno de ellos es el servicio WHOIS.

Whois

El servicio WHOIS está en internic.net, el centro de información de la red. Esta Base de Datos contiene la siguiente información:

- nombres de los host para los dominios de EEUU no militares.
- nombres de los propietarios de los dominios.
- contacto técnico para cada dominio.


Una consulta WHOIS se puede hacer de 2 formas:

- desde línea de comandos en UNIX.
- desde una página HTML.

Puede ser muy útil el recoger información sobre el sitio del administrador del sistema o sobre sus consultas a listas de correo sobre seguridad ya que a veces especifican sus arquitectura, topología, o problemas que les surjan. Esto nos dará pistas sobre su política de seguridad. Si no hay rastro del administrador de sistema en la lista de correo, podemos probar a intentar adivinar su dirección concatenando sus nombre a todos los host de su red.


"Finger" y Rusers"

Si el objetivo está ejecutando finger y rusers, puedes darte cuenta de que el administrador de sistema está en otra red, y esta información se puede conseguir del informe que finger y rusers proporcionan. Sin embargo, conseguir esta información puede llevar días, y el administrador puede que ya haya entrado desde la red externa. Una solución es escribir un script(macro) que coja la información regularmente.

El sistema Operativo

Próximo paso: identificar el Sistema Operativo del objetivo. Esto puede ser muy fácil porque muchos sistemas identifican sus SSOO cuando se produce un nuevo acceso (login). Si esta información no aparece inmediatamente prueba a usar las ordenes host, dig y nookup. Sin embargo, la información proporcionada no tiene porqué ser del todo cierta: podría estar anticuada o manipulada.

Si esto falla:

- abrir una conexión con un socket a un puerto conocido que preste servicios únicos.
- usar motores de búsqueda. Para esto hay que saber los nombres de usuario del objetivo y habrá que buscar mensajes enviados desde aquí porque en las cabeceras pone al final el S.O.


IDENTIFICANDO DEBILIDADES EN EL SISTEMA

Los escáneres son buenas herramientas para auditar la red, y pueden ofrecer un testeo rápido para debilidades bien conocidas. Sin embargo, no son apropiadas para atacar una red externa porque hacerlo es como entrar a robar por la ventana a plena luz del día. La proliferación de escáneres ha llevado al desarrollo de herramientas que detectan los rastros de los mismos. Por esto, su uso es poco aconsejable. Las formas más prudenciales de recabar información del objetivo son:

- consultores de seguridad (security advisories)
- lista de correo sobre seguridad
- sitios sobre cracking
- manuales de administración de sistemas
- sitios parches.


NIVELES DE UN ATAQUE

¿CUÁNDO PUEDE OCURRIR UN ATAQUE?

Un ataque puede ocurrir en cualquier momento en el que tu estación de trabajo en red esté conectada a internet. La mayoría de los ataques ocurren en las horas nocturnas de la posición del servidor. Se podría pensar que los crackers deberían trabajar durnate el día ya que el alto tráfico oculta sus actividades. Pero hay varias razones por las que los crackes no usan estas horas:

- Factibilidad: la mayoría de los cracker son personas que tienen su trabajo durante el día y durante la noche es cuando pueden llevar a cabo sus actividades. Esto difiere del pasado, cuando los crackers eran chicos en casa sin nada que hacer.

- Velocidad: los crackers prefieren trabajar a las horas en las que menos tráfico hay para que sus paquetes se envíen lo más rápido posible.

• Sigilo: supongamos por un momento que un cracker encuentra un fallo, y en ese momento hay 3 administradores de sistema controlando el acceso, ¿qué puede hacer? Muy poco. Es preferible esperar y entonces actuar.


•  ¿QUÉ SISTEMA OPERATIVO USAN LOS CRACKERS?

El sistema operativo usado por los cracker varía. Macintosh es la plataforma menos preferible para un cracker, simplemente porque no hay suficientes herramientas para MacOs y las que hay tienen muchos problemas para ser portables. UNIX es la más preferible probablemente FreeBSD o Linux.

Las razones para que Linux sea muy usado por los crackers es que en un precio aceptable consigues un PC a 100Mhz con 8MB de RAM al que pones como sistema operativo FreeBSD o Linux de forma gratuita y de repente te encuentras con que tienes una poderosa estación de trabajo. También deberíamos mencionar a los crackes profesionales (cobran por su trabajo) que pueden probablemente proporcionarse cualquier sistema ya que para esos individuos las licencias y los costes no son cuestiones de importancia.

SUN
Es relativamente fácil ver cracker usando la plataforma Solaris X86 o SCO. Esto es porque además de que son productos con licencia gratuita, son fáciles de obtener. Un cracker típico es un estudiante y estos poseen ventajas respecto a la compra de software, ya que hay acuerdos entre las empresas y las universidades que bajan el precio del software, precios a los que no pueden acceder las personas de la calle.

UNIX
La plataforma UNIX es muy popular porque generalmente necesita muy pocos recursos para tener un buen funcionamiento. Un PC con Windows 95 requiere muchos megas de RAM, en contraste con Linux o FreeBSD que pueden ser ejecutados en un 80386, además hay muchas herramientas escritas para Linux.

MICROSOFT
La plataforma Microsoft soporta muchas herramientas de seguridad legales que pueden ser usadas para atacar host remotos, De hecho muchas crackers están usando Windows NT que es mejor que Windows 95 en un amplio margen y tiene mejores herramientas para trabajo en red. Además Windows NT es una plataforma más seria en términos de seguridad. El acceso al control es mejor, así los cracker pueden ofrecer servicios remotos a sus compañeros. Windows NT comenzó como la mejor plataforma para servicios en Internet.

EL ORIGEN DEL ATAQUE.
Hace años muchos ataques se iniciaban en las universidades porque era donde el acceso a internet era mejor. Esto influenciaba no sólo en el origen del ataque seno en la duración, ya que los protocolos TCP/IP no eran una buena opción para crackear. Hoy es totalmente diferente. Los crackers pueden atacar una estación de trabajo desde su propia casa, oficina o vehículo. A pesar de eso hay algunas constantes, por ejemplo: los crackers importantes generalmente no usan proveedores como America OnLine, Prodigy o Microsoft NetWork(aunque los que se dedican al robo de números de tarjetas de crédito tienen en AOL la mejor elección). Además esos proveedores no ofrecen UNIX, y ya hemos comentado que el entorno Unix es uno de los más utilizados por los crackers. La imagen de un crackers típico es: esa persona que trabaja por la noche con UNIX o Windows NT, con herramientas muy avanzadas y usando un proveedor local.


¿Cómo es un típico cracker?

Un cracker típico tiene tres características básicas:

- puede codificar en C, C++ o Perl,
- tiene un profundo conocimiento de TCP/IP,
- usa internet más de 50 horas al mes,
- tiene un conocimiento íntimo de al menos dos sistemas operativos, de los cuales sin duda uno de ellos es UNIX o VMS,
- tiene o tuvo un trabajo relacionado con la informática,
- colecciona viejo software y hardware.



¿Cómo es un típico objetivo?

Los objetivos típicos de los crackers son muy variados pero coinciden principalmente en ser servidores pequeños o redes privadas. El porque está claro, es más fácil atacar pequeñas redes que tienen pocos elementos de seguridad, además las pequeñas compañías no suelen tener asignado un presupuesto especial para el anti-cracking. Las características de un objetivo son:

- Los dueños son nuevos en internet.
- El administrador de sistema está experimentado con LAN`s y no con TCP/IP..
- Su equipo o el software (o ambos) son viejos y quizá anticuados.
También hay cracker que prefieren recorrer ciegamente muchos objetivos y ver donde hay fallos de seguridad no detectados por el sysad (administrador de sistema). Otra cuestión es la familiarización y especialización ya que los crackers cada vez atacan menos a múltiples plataformas. Uno de los objetivos más importantes son las universidades por varias razones:
- El trabajo del sysad suele estar distribuido en varias estaciones de trabajo.
- Aunque sea en un segmento pequeño las universidades tienen varios cientos de usuarios.


Otro objetivo importante son las web gubernamentales. Suelen ser atacadas por elementos anarquistas.


¿Por qué quieren atacarnos?

Hay varias razones por las que los crackers pueden querer atacar un sistema:

- Rencor: por que el cracker está en desacuerdo con tus ideas.
- Deporte: quizás se ha dado cuenta que había un fallo en la seguridad de tu sistema.
- Sacar provecho: alguien paga a un cracker para que ataque al propietario de los datos.
- Estupidez: muchos crackers quieren impresionar a sus amigos.
- Curiosidad: muchos crackers son por pura curiosidad.
• Políticos: un pequeño (pero significante) porcentaje de crackers crackean por motivos políticos.

NIVELES DE ATAQUE A UN SISTEMA

Nivel 1

Los ataques clasificados en el nivel uno son básicamente irrelevantes. Se incluyen los ataques al sistema de correo electrónico y la negación de servicios- Lo mejor de esto es que se requieren 30 minutos para corregir el problema. Esto es así porque el ataque se realiza con el expreso propósito de fastidiar.


Nivel 2 y 3

En estos niveles se engloban los ataques como cuando usuarios locales acceden a la lectura o escritura de ficheros (o directorios) a los que ellos no deberían tener acceso. Esto puede ser un problema dependiendo de la importancia de los ficheros. Ciertamente, cualquier caso en el que un usuario local tenga acceso al directorio /tmp es una situación crítica. Y esta es una cuestión primaria para un administrador de UNIX o de Windows NT.

Hay dos cuestiones clave de seguridad del nivel 2 que si son vulneradas afectaran al nivel 3, 4 ó 5. Esos factores son:

- Mala configuración
- Fallos inherentes al software


La primera cuestión ocurre cuando no se entiende bien el sistema y se colocan mal los permisos. Esto no es un crimen. Hay que reconocer que cada sysad de Windows NT o UNIX no es un genio, y tampoco el hecho de que se tenga un profundo conocimiento del sistema no significa que sea un sistema seguro. Además hay varias herramientas para chequear el sistema en busca de malas configuraciones.

La segunda cuestión es más común de lo uno se piensa. De hecho, desde 1980 están apareciendo mensajes de advertencia sobre problemas en software que se creía eran muy serios en cuestiones de seguridad. Un intento de solucionar este problema es sacar al mercado versiones del software al que los mismos usuarios van descubriendo los fallos de seguridad, pero no es una solución muy buena ya que hay fallos que no aparecen hasta que el software es vendido en su versión completa. La única solución es subscribirse a una lista de correo donde te envíen información sobre los fallos y problemas que vayan surgiendo en tu sistema y pensar al respecto que la seguridad es un proceso de continuo aprendizaje.


Nivel 4

En este nivel los casos ya son de usuarios remotos que acceden a ficheros internos. La intención de este acceso puede variar: puede ser buscando verificar la existencia de ciertos ficheros, o para leerlos. Los problemas en el nivel 4 también incluyen aquellas vulnerabilidades encontradas por usuarios remotos a través de las cuales ejecutan un numero de comando en el servidor. El mayor porcentaje de esos fallos llegan a través de malas configuraciones en el servidor, malos CGI`s y problemas de overflow.


Nivel 5 y 6

En estos niveles se engloban las cosas que nunca deberían ocurrir. Un problema en el nivel 5 o 6 es fatal. En estos niveles los usuarios remotos pueden leer, escribir y ejecutar ficheros. Afortunadamente si se tiene el nivel 2, 3 y 4 cerrados convenientemente es casi imposible que haya una crisis en el nivel 5 ó 6.




ATAQUES SPOOFING

¿QUÉ ES UN SPOOFING?

Spoofing puede ser definido es una sentencia simple: es una técnica sofisticada de autentificar los paquetes de una máquina a otra desde una verdadera dirección fuente. Spoofing es un complicado proceso.

Fundamentos de seguridad
Hay dos fundamentos de seguridad:

- Confianza
- Identificación
Confianza: es lo que necesitan dos máquinas para conectarse.
Identificación: es el proceso de identificación entre ellas.
La confianza y la Identificación generalmente tienen una relación proporcionalmente inversa. De hecho cuando hay un alto nivel de confianza entre dos host, no se requiere la cadena de conexión para comenzar la comunicación.


Métodos de Identificación

En internet constantemente nos estamos identificando sobre todo en los siguientes servicios:

- la conexión a internet
- sitios FTP
- servicios Telnet y cuentas de internet


Hay varios métodos de identificación dependiendo de la confianza que haya en las relaciones de comunicación:

RHOSTS: el sistema RHOSTS puede ser usado para establecer una relación de confianza entre máquinas. El fichero /etc/hosts.equiv y rhosts proveen los datos para una identificación remota para rlogin(1), rsh(1), rcp(1), por ejemplo una muestra del fichero .rhosts podría ser:

node1.sams.hacker.net hickory
node2.sams.hacker.net dickory
node3.sams.hacker.net doc
node4.sams.hacker.net mouse


Este fichero especifica los nombres de las cuatro máquinas que son confiables. Esto hace que el acceso a la máquina local ofrezca sus servicios sin usar una password de identificación.


Ahora se han establecido los siguientes puntos:

- confianza e identificación que tiene una relación inversa
- una identificación inicial esta basada en una dirección fuente en relaciones de confianza
- la identificación mediante una dirección fuente IP es irrealizable porque las direcciones Ip pueden ser falsificadas
• una relación de confianza de cualquier tipo puede tener un ataque spoofing esperándole.


MECANISMOS DE UN ATAQUE SPOOFING

La identificación de una dirección fuente comprobando la dirección IP no es suficiente para establecer una conexión, sino que se requiere de un completo dialogo entre máquinas. Es más fácil entender el proceso siguiendo estos pasos:

- IP es responsable del transporte, pero no se responsabiliza de que el paquete llegue perfectamente a su destino. El primer paso para establecer una conexión es iniciarla de modo que tengamos la garantía de que los paquetes llegarán intactos al host destino.
- Cuando uno de los paquetes llega TCP lo recoge, lo chequea y lo verifica.


El ataque Stoofing está caracterizado por dos elementos: Primero, se pueden falsificar la dirección fuente y segundo se debe mantener un diálogo con la tarjeta de red. El segundo problema tiene porque: la secuencia de diálogo no es arbitraria. La tarjeta inicia el diálogo con una secuencia de números y el atacante debe contestar con la respuesta correcta. Esto puede sonar confuso, vamos a explicar con más claridad:

- El cracker sabe que los host 207.171.0.111 y 199.171.190.9 están teniendo una comunicación correcta.
- El cracker intenta penetrar en la 207.171.0.111
- Para hacerlo, debe suplantar a la 199.171.190.9
- Para suplantar a 199.171.190.9, hay que falsificar su dirección.


El problema es que todas las respuestas desde 207.171.0.111 están actualmente corriendo hacia 199.171.190.9 (y no hacia la máquina del crackers). Por eso el cracker no puede ver el trafico del paquete. El está conduciendo ciego.

LOS INGREDIENTES DE UN ATAQUE SPOOFING CON ÉXITO

Hay ciertos pasos que se deben dar:
1.- El cracker debe identificar su tarjeta.
2.- Debe anestesiar el hosts e intentar la suplantación.
3.- Debe falsificar la dirección del host que quiere suplantar.
4.- Debe conectar la tarjeta y enmascararse como el host que ha anestesiado.
5.- Debe conseguir la secuencia correcta de números para responderla por la tarjeta.
Obtener la secuencia de números
Los primeros 4 pasos son fáciles, la dificultad viene en el quinto paso, donde hay que conseguir la secuencia de números correcta, para ello hay que seguir unos pasos:
1.- Intentar conectar con la tarjeta respondiendo a la conexión.
2.- La tarjeta responde con una secuencia de números.
3.- El cracker registra esa secuencia de números y corta la conexión.

El cracker examina la secuencia registrada y es en ese análisis donde identificará el patrón de la conexión. Esa secuencia se irá incrementando uniformemente de acuerdo a un algoritmo designado especialmente para ello. Su trabajo es determinar que algoritmo o determinar cual es el número con el que se incrementa. Una vez el conoce esto, puede generar la secuencia correcta requerida para la identificación.

Antes el ataque spoofing era sólo una teoría, pero ahora está demostrado que son una amenaza real a los sistemas.


OCULTANDO NUESTRA IDENTIDAD

OCULTANDO NUESTRA IDENTIDAD
Ya hemos visto anteriormente como usar las herramientas para proteger nuestros datos. También podemos usar para proteger nuestros datos los siguientes métodos: identificadores digitales, paquetes de filtros, encriptación fuerte, utilidades de virus, redes privadas virtuales, aparatos de red y una docena de otras herramientas. Cada una de ellas nos ofrecen algún tipo de garantía sobre seguridad en cualquier tipo de red e Internet.

Ahora la pregunta que nos hacemos es ¿qué pasos podemos dar para asegurar nuestra privacidad mientras navegamos por la red?. A continuación intentaremos de ver con más detalle la explicación a esta pregunta.

GRADOS DE EXPOSICIÓN.
A menos que tomemos ciertas medias para prevenir nuestra identificación, nuestra identidad puede estar expuesta a cualquiera, si nos encontramos navegando en Internet. Esta exposición se puede manifestar de diferentes formas y grados, dependiendo de diferentes factores, incluyendo:

• Nuestra conexión de red.
• Nuestro navegador o browser.
• Nuestro tráfico público.
• Que tipo de conexiones y aplicaciones mantenemos.

Los puntos anteriores nos exponen a dos tipos de inteligencias distintas:

- Inteligencia Humana.
- La inteligencia de la red


La Inteligencia Humana.

Normalmente los humanos tendremos la capacidad de espiar, a través de lo cual podrán descubrir nuestra identidad, seguir nuestros movimientos o incluso cogernos cometiendo algún tipo de delito. Por algo la inteligencia humana es sin duda la más antigua. La inteligencia humana la podemos dividir en dos tipos:

• La colectiva. Será la que cuyo objetivo es la de reunir información sin establecer necesariamente contacto directo.
• La penetrativa. Cuyo principal objetivo es establecer contacto directo, ganar nuestra confianza y obtener información de forma continua.

Internet es una magnífica herramienta para la inteligencia colectiva. Por ejemplo, consideramos nuestro correo de la Usenet, los cuales están disponibles al público, personas conocidas y desconocidas. Otros podrán seguir la pista de nuestros mensajes y aprender bastante sobre la actividad que realizamos, haciendo esto. Simplemente usando motores de búsqueda podrán conducir la inteligencia colectiva a su antojo.

Hace 25 años, todo esto era diferente. En los años 70 existía en América un gran desorden político, de lo cual se aprovecharon algunas organizaciones más radicales y partidarios de la violencia contra el gobierno. Las agencias de inteligencia de los Estados Unidos respondieron conduciendo operaciones colectivas y penetraciones a gran escala.

Estas operaciones pueden llevarse a cabo por seres humanos. Por ejemplo, para identificar a los componentes de la Sociedad Democrática de Estudiantes, el FBI mandó agentes a pie (Empleados del FBI o informadores civiles). Estos agentes se mezclaron entre ellos para recoger información sobre huellas digitales, direcciones etc…

Internet permite a las agencias de inteligencia controlar los sentimientos públicos desde sus oficinas, además pueden hacerlo sin violar ninguna ley. Al igual que no se requiere ningún tipo de garantía antes de usar Internet a la hora de recopilar listas de gentes se encuentran involucrada en algún tipo de actividad ilegal.

Así si tenemos algún tipo de ideología política radical, será mejor que nos la guardemos para nosotros (o bien tener una buena base en criptografía), porque los motores de búsqueda pueden ser usados para aislar todo el tráfico de la Usenet entre clases particulares de individuos (miembros de la milicia, por ejemplo).

Podemos concluir con que la Usenet no es un foro para ejercer nuestro derecho a la libertad de expresión, en cambio, es un lugar donde estamos expuesto e indefensos ante el mundo. Aunque la Usenet es solo el comienzo, seis de cada diez Web que visitamos siguen nuestros movimientos.


LOS NAVEGADORES WEB Y LA INVASIÓN DE LA PRIVACIDAD

Antes de que existieran los navegadores Web nosotros solo podíamos acceder a Internet por medio de un interface de línea de comandos, el cual era un hueso e intimidaba a mucha gente. El hallazgo de los navegadores han transformado Internet en un paraíso en el que cualquiera con un ratón puede navegar fácilmente por la Word Wide Web. La inclusión de los navegadores fue de gran importancia y de la noche a la mañana millones de usuarios se conectaron a la red.

La agencias de marketing tomaron buena nota y lanzaron la siguiente pregunta al mundo ¿Cómo ganar un dólar usando Internet?. Las compañía dieron varias respuestas, entre las cuales se encuentra el comercio electrónico. (En el cual los consumidores compran productos y servicios a través de la Web desde su casa).

Existe un fuerte impulso para desarrollar métodos para espiar a los usuarios, no solo las compras, sino también el consumo que tienen. La mayoría de los métodos surgieron en 1.993, y hoy día debe haber ya más de una docena. A continuación veremos como nuestra identidad puede ser descubierta bit a bit por cualquier persona.

ARQUITECTURA Y PRIVACIDAD DE INTERNET

Algo que no debemos olvidar es que la arquitectura de Internet no está diseñada para mantener la privacidad de la información personal, de hecho, hay varias utilidades en Internet diseñadas específicamente para seguir e identificar a los usuarios.

A continuación veremos como se almacena la información de los usuarios en los distintos servidores.

Como se almacena la información de los usuarios en el servidor.
Hay dos formas universales de identificarse en Internet: Nuestra dirección de e-mail y nuestra dirección IP. Ambas revelan nuestra identidad, por lo cual ya existe algo por donde los espías pueden empezar.

En particular, nuestra dirección de e-mail, puede revelar nuestro nombre real, porque si nuestro proveedor del servicio de Internet usa Windows NT para albergar algunas páginas Web, casi todos los ISP’s usan UNIX como plataforma base. Esto es porque UNIX (en unión a un protocolo llamado RADIUS) hacen que el manejo de la cuentas de "dial-up" sea muy fácil, (además proporciona un mejor soporte de correo que Windows NT, incluso si te conectas con cientos o miles de cuentas).

En el sistema UNIX, se almacena la información del usuario en un fichero llamado passwd, que esta situado en el directorio /etc/. Este fichero contiene los login, los nombres, y ocasionalmente incluso el password del usuario( Esto de forma encriptada).

Esta información es vital y UNIX la utiliza para muchas tares, como por ejemplo, esta información es doblemente chequeada cada vez que nos conectas, o recibimos un e-mail y cada vez que nos desconectamos. Desafortunadamente, esta información está también disponible para el público en general a través de una utilidad que se llama finger.
Finger.

Es un servicio común de los sistema UNIX y cuyo propósito es proporcionar información del usuario a terminales remotos, y como todos los servicios que nos ofrecen los protocolos TCP/IP, finger está basado también en el modelo Cliente – Servidor.

Cuando un Sistema UNIX se arranca por primera vez, se cargan cerca de una docena de servicios remotos (como el servidor Web, servidor FTP, telnet…). El servidor finger se llama fingerd, más conocido como "finger Daemon". Este recoge las peticiones locales o remotas sobre información del usuario. Cuando se realiza una petición de este tipo, la información que ofrecerá será la nuestra.

En UNIX, podemos realizar un finger desde la línea de comandos. Los resultados de estos se imprimen en el terminal local. Una petición podría ser:


$finger –l Esta dirección de correo electrónico está siendo protegida contra los robots de spam. Necesita tener JavaScript habilitado para poder verlo.
Este comando podríamos traducirlo como: "Busca a jdoe y dime todo lo que sepas sobre él". Cuando el usuario solicita una respuesta el finger daemon de john-doe es contactado, busca a través del sistema y al final devuelve esta información:

Login name: jdoe in real life: John Doe
Directory: / shell: /sbin/sh
Last Login Tue May 18 19:53 on pts/22
New mail received Mon May 18 04:05:58 1997;
Unread since Mon May 18 03:20:43 1997

No Plam.
Hace unos años esta información solo estaba disponible para los usuarios de UNIX y VAX/VMS. Hoy día existen clientes finger para todas las plataformas

Algunos administradores de sistemas permiten un acceso no restringido del finger, al mundo exterior. Esto permite a usuarios remotos no solo identificarnos, sino también a todos en el sistema. Para hacer esto, los usuarios remotos ejecutan el comando:

Finger @my_terget_host.com
El símbolo @ trabaja precisamente como un * lo hace en una expresión normal. El comando quiere decir: "Háblame sobre los usuarios que están conectados."

En muchos casos, empezando con finger y acabando con WorldPages, podemos encontrar la dirección de la casa de alguien en menos de 30 segundo. Así podemos concluir que finger puede llevar a un completo extraño hasta la puerta de nuestra casa.

LA SEGURIDAD DEL NAVEGADOR.

Con el aumento del comercio electrónico se están desarrollando nuevos métodos para seguir nuestro movimientos. Existe dos nuevos métodos para nuestro navegador:

- Las direcciones IP y las cache Snooping.
- Cookies.

Por si mismo estas técnicas parecen bastante inofensivas. Sin embargo, si queremos permanecer anónimo deberemos seguir los siguientes pasos:
Dirección IP y Cache Snooping.

Cada vez que visitamos un servidor Web dejamos allí una pista, la cual se graba de diferentes formas en los distintos servidores. Una típica conexión de entrada en UNIX es de la siguiente forma:

153.35.38.245 [01/May/1998:18:12:10-0700] "GET / HTTP/1.1" 401.362
La primera entrada es la dirección IP, todos los paquetes de servidores Web son capaces de grabar las direcciones IP de los visitantes, sin embargo, muchos servidores Web pueden grabar otra información, incluyendo nuestro nombre de host e incluso nuestro nombre de usuario. Para ver que puede decir tu servidor Web sobre nosotros podemos visitar la página:
http://www.ixd.com/cgi-bin/cgi-test.cgi

El test-cgi se utiliza básicamente para capturar los distintos entornos, ambos en el servidor y en el lado del cliente. (Cuando esto ocurre, test-cgi puede ser un tremendo agujero en la seguridad y muchos ISPs lo borran de su servidor).

Usando estos registro y Scripts el Webmaster puede saber donde estas, cual es tu dirección de red…


Cookies.

Los Cookies se utilizan para almacenar la información sobre nosotros y el navegador de páginas web. La gente de Netscape lo explican de esta forma:
Es un simple mecanismo que proporciona una poderosa herramienta capaz de activar un host en entornos Web. Las aplicaciones de compras pueden almacenar información sobre los artículos seleccionados, para los derechos de servicio se puede devolver la información del registro y liberar así al cliente de tener que el ID de usuario en la siguiente conexión. Son lugares donde se podrán almacenar las preferencias del cliente y así tener tenerla cada vez que se este conectado.

El concepto de cookie es como tener un sello en nuestras manos, cuando entras en alguna lugar, podemos vagar por el, hacer lo que queramos. Mientras el sello esta en nuestra mano no tendremos que volver a pagar ni tener acceso restrigido. Similarmente los cookies permiten al servidor Web recordarnos nuestro password, y diversa información. De esta forma cuando volvemos, esta información se recobra automáticamente. El problema es de donde se recobra esta información.

El proceso es el siguiente: Cuando visitamos una página Web el servidor escribe un cookie en nuestro disco duro. (Es un fichero especial).
Los usuarios de Windows podemos encontrar este fichero en diversos lugares, dependiendo de nuestro navegador y de la versión del Windows.

Los cookies en la versiones más viejas están en un fichero llamado cookies.txt, en la nuevas se almacenan en C:\windows\cookies.

Si observamos el contenido de un fichero cookie podemos ver que aparecen nuestra dirección IP. Los partidarios de los cookies insisten en que son inofensivos, que no pueden ayudar a identificar al usuario, y que ademñas son benignos. Esto no es cierto, como explican D. Kritol y L. Montulli:
Un servidor original puede crear una cabecera Set-Cookie para seguir el camino de un usuario a través del servidor. Los usuarios podrían protestar por este comportamiento como una acumulación intrusita de información, incluso si nuestras identidades no son evidentes.

Hoy en día los cookies se utilizan rutinariamente para la autentificación del usuario. Esto se distorsiona y se reconoce inmediatamente con un problema como se expresa en RFC-2109:

Los agentes de usuario deberían permitir al usuario controlar la destrucción de los cookies. El cookie usado poco debe funcionar como un "fichero preferente" por las aplicaciones de red, y el usuario deberá mantenerlo incluso si es el último cookie usado.

Una posible implementación sería un interface que permitiría un almacenamiento permanente del cookie a través de un Checkbox.
A peso de todo esto los navegadores Web principales aún navegan con la opción Accept Cookie activada. Peor todavía, muchos navegadores tienen una opción que le avisa antes de aceptar un cookie, la cual está deshabilitada por defecto. El Netscape, por ejemplo, navega de esta forma. Si usamos Netscape Comunicartor, deberemos ir al menu Edit y elegir Preferences, una vez abierta haremos clic en Advanced, donde deshabilitaremos dicha opción. Microsoft Explorer navega básicamente en el mismo estado.


TU DIRECCIÓN DE EMAIL Y USENET
Tu dirección de email es como cualquier otra cadena de caracteres. Si aparece en una página Web, se puede alcanzar por métodos de búsqueda. Una vez que un espía tiene tu dirección email esta se llena de anuncios, y puede ser un primer paso para entrar en tu sistema.

DejaNews

El buscador DejaNews es una herramienta especializada exclusivamente en buscar en Usenet. El DejaNews tiene archivos de información desde Marzo de 1995, y la dirección indica que ellos están constantemente intentando llenar huecos y sacar los artículos más viejos de la base de datos. Ellos pretenden trabajar para proporcionar todos los artículos enviados desde 1979. Asume que aunque tu nombre real no aparece en el correo Usenet, aparece en el fichero /etc/passwd del servidor UNIX que usas como gateway a internet. Aquí están los pasos que debes tomar:

1.- Los espías ven tu correo Usenet, tu dirección de email es visible pero tu nombre no.
2.- Los espías intentarán un finger para ver tu dirección, pero si eso ocurre, solicita demandas de prohibición de la herramienta finger.
3.- Los espías hacen un telnet al puerto 25 de tu servidor,, ejecutan el comando expn y obtienen tu nombre real.
Una vez obtenida esta información, los investigadores intentarán encontrar el estado donde vives, Para esto usan el comando Whois.


El servicio Whois

El servicio WHOIS (rs.internic.net) contiene el dominio de los registros grabados de toda América no militares situados en Internet. Los registros de la base de datos contienen información detallada de cada sitio de Internet, el dominio incluye nombre, dirección de servidor, contactos técnicos, número de teléfono y dirección. Armados con toda esta información los espías proceden a teclear http://www.worldpages.com.

WorlPage es una base de datos grande con nombres de casas, direcciones de email y números de teléfonos de millones de usuarios de Internet. Los investigadores usan tu nombre real como cadena de búsqueda, especificando California como tu estado. Instantáneamente confronta con puntos que proporcionan nombre, dirección y número de teléfono. Aquí puede haber algunos problemas, dependiendo de cómo de común sea tu nombre. Por ejemplo si tu nombre es John Smith, los espías tendrán que buscar más tiempo. Cuando los espías descubren 3 direcciones y cada una en una ciudad distinta de Calfornia usan el host para determinar cual es la correcta. El host listará todas las máquinas desde las cuales se ha accedido a la red y su localización. El comando host puede identificar donde están localizadas cada workstation por ciudad. Por tanto, tu puedes ver una entrada como la siguiente:


Chatsworth1.target-provider.com

Chatsworth es una ciudad al sur de California. Desde esta entrada, podemos asumir que chatsworth1.target-provider.com es localizado dentro de la ciudad de Chatsworth. El espía examina de nuevo tu post de Usenet y así se puede determinar que servidor has usado para enviar el artículo. Los espías extraen el nombre del estado pero no la dirección IP. Para completar el procesose hace un Telnet sobre el host que consta en el post. Cuando se inica la sesión Telnet aparece el número IP y desde el DNS se envía a la salida estándar. Ahora los buscadores tienen la dirección IP de la máquina que aceptó el correo original. Habiendo obtenido esta información los buscadores vuelven a WorldPages y eligen tu nombre. En segundos aparece un mapa de tu barrio, la localización exacta de tu casa se marca en el mapa con un círculo. Los buscadores conocen exactamente donde vives. En este momento, ellos pueden conseguir más información interesante sobre ti, por ejemplo:

• pueden conocer tu status, a quien votas y tus afiliaciones políticas en el URL: http://www.india.com/lycos/voter-records.htm
• pueden determinar cuales son tus candidatos preferidos y cuanto has contribuido (para las elecciones federales). Esta información la obtienen del URL: http://www.tray.com/fecinfo/aip.htm
• también pueden conseguir tu número de la seguridad social y el día que naciste. Esta información está en el URL: http://kadima.com/


La gente minimiza la importancia de esto. Se mantienen en la idea de que esta información es accesible por muchas vías, pero no se dan cuenta de que Internet es una única vía de acceso a toda la información. El anonimato total en Internet es posible pero no recomendable. Hay foros a favor y en contra de este. La pregunta esta en si quien usa Internet está o no en derecho de tener anonimato, porque donde para algunas cosas es bueno para otras el anonimato en la red supone un peligro para los usuarios de la misma.


• Bueká-Pastor Torao García
• Miguel Ángel Fernández Valdés
• Alejandro Viana Rios


Universidad Abierta
Fuente: http://www.universidadabierta.edu.mx/principals.html

FACEBOOCK