1.2 VULNERABILIDAD

● La mejor palabra para definir a una vulnerabilidad es “debilidad”.

● Una vulnerabilidad hace que la seguridad se vea disminuida o en algunos de los casos, que se vea nula.

● Realmente hay un debate sobre esta terminología, debido a que si nadie conoce el agujero de seguridad, este no existe.

● Por lo que partiremos desde la hipótesis de que todos los sistemas son inseguros, por la sencilla razón de que lo creó una persona o un grupo de ellas y, por consiguiente, el error siempre está presente, solo hace falta descubrirlo.

● Pero...¿porque no partir de la hipótesis de que los sistemas son seguros, hasta que se demuestre lo contrario?

● ¿La verdad?... Nadie puede poner las manos al fuego asegurando que el sistema que fabricó es 100% seguro.

● Por lo tanto:

Una vulnerabilidad es una debilidad del sistema informático que puede ser utilizada para causar un daño.

Las vulnerabilidades de los sistemas informáticos las podemos agrupar en función de:

Diseño

● Debilidad en el diseño de protocolos utilizados en las redes.

● Políticas de seguridad deficientes e inexistentes.

Implementación

● Errores de programación.● Existencia de “puertas traseras” en los

sistemas informáticos.● Descuido de los fabricantes.

Uso

● Mala configuración de los sistemas informáticos.

● Desconocimiento y falta de sensibilización de los usuarios y de los responsables de informática.

● Disponibilidad de herramientas que facilitan los ataques.

● Limitación gubernamental de tecnologías de seguridad.

TIPOS DE VULNERABILIDADES

Vulnerabilidad del día cero

● Se incluyen en este grupo aquellas vulnerabilidades para las cuales no existe una solución “conocida”, pero se sabe como explotarla.

Buffer Overflows

● Un programa necesita guardar datos, es por eso que usan un espacio en memoria. El espacio es llamado buffer y tiene un límite que el programador le ha asignado cuando definió cada parte del código del programa.

● Cuando un programa llama a una función, guarda la dirección en la que se encuentra para saber donde volver cuando la función termine.

● Esta dirección es conocida como dirección de retorno y se guarda en la pila.

● Pila es una estructura de datos que se encuentran en la RAM y se encarga de centralizar los procedimientos, las funciones y demás rutinas que el programa tiene que almacenar y procesar.

● La pila opera en lo que se denomina LIFO (Last In First Out).

● Por lo tanto un Buffer Overflow es cuando un programa se ve sobrepasado en su capacidad de guardar datos y por no tener un límite correctamente programado, las posiciones de pila se empiezan a re-escribir, haciendo que paulatinamente el programa se vaya sustituyendo por la cantidad de bytes que estaban después del hipotético límite.

Vulnerabilidad de condición de carrera

(race condition)

● Si varios procesos acceden al mismo tiempo a un recurso compartido puede producirse este tipo de vulnerabilidad.

● Es el caso típico de una variable, que cambia su estado y puede obtener de esta forma un valor no esperado.

Vulnerabilidad de Cross Site Scripting (XSS)

● Es una vulnerabilidad de las aplicaciones web, que permite inyectar código VBSript o JavaScript en páginas web vistas por el usuario.

● El phishing es una aplicación de esta vulnerabilidad, ya

que la víctima cree que está accediendo a una URL (la ve en la barra de direcciones), pero en realidad está accediendo a otro sitio diferente. Si el usuario introduce sus credenciales en este sitio se las está enviando al atacante.

Vulnerabilidad de ventanas engañosas

(Window Spoofing)

● Las ventanas engañosas son las que dicen que eres el ganador de algún premio o beneficio, lo cual es falso y lo único que quieren es que el usuario proporcione información.

● Hay otro tipo de ventanas que si las sigues obtienen datos del ordenador para luego realizar un ataque.

1.1.3 Riesgo

● Un riesgo es un problema potencial que puede ocurrir.

1.1.4 ¿ATAQUE?

● Un ataque informático es un método por el cual un individuo, mediante un sistema informático, intenta tomar el control, desestabilizar o dañar otro sistema informático (ordenador, red privada, etcétera).

Tipos de Ataques

● Hay demasiados tipos de ataques, así como demasiadas técnicas que pueden usar a otras para causar el congelamiento de un sistema.

● Porque es mas fácil hacer colapsar un sistema que poder entrar a él, este tipo de ataques está mal visto por la comunidad underground.

Ataque por Fuerza Bruta

● No es necesariamente un procedimiento que se deba realizar por procesos informáticos. El sistema de ataque por fuerza bruta, trata de recuperar una clave probando todas las combinaciones posibles hasta encontrar aquella que se busca, y que permite el acceso al sistema, programa o archivo en estudio.

Man in the Middle

(MitM)

● Situación donde un atacante supervisa (generalmente mediante un rastreador de puertos) una comunicación entre dos partes y falsifica los intercambios para hacerse pasar por una de ellas.

Ataque DoS

● Denial of Service, no es mas que un ataque que hace colapsar el sistema.

● Con un ataque DoS puede hacer colapsar un router, una aplicación, una conexión, un servicio y todo tipo de utilidades.

● Este ataque es peligroso, devastador y temerosamente difícil de detener.

Consumo de Recursos

● Hace colapsar un recurso al que se tiene acceso legítimamente. Ejemplo: cuando tenemos acceso a un recurso de red por medio de netbios, y seleccionamos y solicitamos muchos archivos o carpetas, el recurso se sobrecarga y deja de brindar sus servicios.

Consumo de Ancho de Banda

● Surte efecto cuando el atacante tiene una conexión mas rápida que la de su objetivo y logra que este se llene de paquetes basura que hacen que el sistema se colapse; ya que el destinatario está recibiendo mas datos que los que puede recibir.

Inundación SYN

● La máquina que quiere establecer la conversación por un puerto envía un paquete con la bandera mostrando syn, mientras que la pc objetivo responde con un syn\ack que será recibido por la máquina origen y respondido con un ack.

● La inundación se basa en llenar la cola de espera de la maquina objetivo, o sea que un atacante envía un paquete syn con la dirección spoofeada por una IP que sea inalcanzable; entonces cuando el objetivo responda, no va a recibir respuesta y va a ponerse en cola de espera por un tiempo limitado.

● Por lo tanto con solo enviar unos cuantos de estos paquetes por segundo, el objetivo ya no puede aceptar mas conexiones y, por lo tanto, el ataque se lleva a cabo.

Ataque Smurf

● Muy poderoso a la hora de amplificación y del impacto. El atacante envía paquetes ICMP ECHO a una dirección de difusión de red (.255) o a la IP de dirección de Red que sería la .0 de una red que eligió para que sea la que amplificará los paquetes .

● Cuando se le envía el paquete hará que todas la maquinas de ese segmento responda a quien ha enviado dicho paquete.

● La dirección de origen será falseada por la IP de la víctima, entonces todos los paquetes de las maquinas de todas las redes serán enviados hacia el objetivo, haciendo que este último caiga.

Ddos

● Distributed Denial of Service, se logra a traves de varias maquinas, es decir de varios orígenes y ocurría cuando se unían varios atacantes con un mismo objetivo.

● Sin embargo hoy en dia, buscan maquinas vulnerables para poder entrar y depositar un programa que será el encargado de atacar a un objetivo planificado.

● A estas máquinas violadas se les llama “zombies”, “daemons” o “esclavos”.

● Dichos programas se activan cuando el “master” les da la orden; así las máquinas “zombies” se vuelven esclavas al mismo tiempo, para que el ataque pueda ser concretado con éxito.

Exploits● Método por el cual una vulnerabilidad puede

ser aprovechada.

● Los exploits pueden ser locales o remotos y la diferencia entre ellos radica en la ubicación desde donde se ejecuta el ataque.

● Incluye estos términos en el glosario que publicarás en el portafolio de evidencias:

● Shellcode● Deface