21_2007_es
TRANSCRIPT
-
7/14/2019 21_2007_ES
1/84
-
7/14/2019 21_2007_ES
2/84
-
7/14/2019 21_2007_ES
3/84
-
7/14/2019 21_2007_ES
4/84
4 www.hakin9.org
hakin9
Bienvenidos en febrero...
Esta vez no ha tocado esperar mucho para el prximonmero de hakin9. A partir de enero hakin9 es un mensual yespero que ya os hayis acostumbrado a esta nueva perio-dicidad y que disfrutis de la revista an ms. Este nmeroaparecer en vuestras manos acompaado por dos CDspara traeros cada vez ms materiales interesantes.
En el CD1 encontraris hakin9live, que ya conocis muybien y que, estoy segura, tampoco os decepcionar. Con estemismo disco os entregamos tambin algunos regalos: a qume reero? A las cinco aplicaciones comerciales, que osayudarn a proteger vuestro ordenador y ajustarlo a vuestrasnecesidades individuales. Espero que todas: Powered Keylo-gger, VIP Defense VIP Privacy, LANState, NetIntercept 3.2
Software Demo y System Tweaker os sirvan bien.El CD2 contiene la segunda parte del curso, cuyo obje-tivo es presentar la informacin bsica requerida durante losexmenes certicados Cisco CCNA.
A partir de este nmero podemos enorgullecernos dela colaboracin con los representantes de varias empresasdel sector TI, que aportaron a la revista con los artculos dela ms alta calidad. Nos han honrado con su participacinactiva en la creacin del contenido de la revista tales empre-sas como Ecija Soluciones, rtica Soluciones Tecnolgicasy I-SEC Information Security con las cuales esperamosseguir colaborando tambin en el futuro.
Si hablamos de las empresas habra que mencionartambin el Club PRO, una opcin de suscripcin creada
especialmente con la idea de ofrecer a las empresas laposibilidad de llegar con su mensaje al pblico ms amplio.
A todos que todava no conocen esta nuestra oferta osanimo a analizarla, ya que pueden sacar un buen provechode la colaboracin con hakin9!
Al volver a la presentacin del contenido de hakin9 defebrero, quera recomendaros otra seccin nueva de larevista: los tests de consumidores. En este nmero nos con-centramos en los tests de rewalls y hemos publicado lasopiniones ms interesantes de los que han decidido partici-par en ellos y a los que me gustara en este lugar agradecer.Espero que los tests encuentren su lugar jo en las pginasde hakin9 y que os ayuden a la hora de tomar ciertas deci-siones. Sin embargo, no habr buenos tests sin el apor te de
vosotros, queridos lectores, por lo tanto no os olvidis decompartir vuestras observaciones y experiencias respecto alos productos que vamos a testear y cuya lista encontrarisen la pgina web de hakin9.
Entre los artculos ms interesantes de este nmero hayque mencionar:Ataques CSRF: Ataques de falsicacin depeticiones, en el que aprenderis en que consiste un ataqueCSRF, conoceris diferentes tipos de ataque y la mejor pro-teccin contra ellos. En Hardening de sistemas en entornoscorporativos leeris sobre diferentes tcnicas sobre securi-zacin de sistemas y la mejor manera de llevarlas a cabo.Si os interesa el tema de la tecnologa de indenticacin porradiofrecuencias, os invito a leer el artculo RFID-Otro roundentre la funcionalidad y la seguridad.
Son apenas algunas de las propuestas...y aqu os dejo,desendoos una buena lectura y esperando encontraros elmes que viene...
Anna Marcinkiewicz
18
16
30
06
10
14
20
24
En breve
Resaltamos las noticias ms importantes del mundode la seguridad de sistemas informticos.
Contenido de CD
CD 1 hakin9.liveComentamos el contenido y el funcionamiento denuestra distribucin hakin9.live.
CD 2 Curso CCNADescribimos el contenido del CD2.
Herramientas
Patriot
Gonzalo Asensio Asensio
Patriot: herramienta capaz de monitorizar el compor-tamiento de nuestro sistema.
Open Source Security InformationManagement
Francisco Jess Gmez Rodrguez
OSSIM es una herramienta de monitorizacin deeventos de seguridad en redes.
Ataque
Ataques CSRF: Ataquesde falsicacin de peticiones
Emilio Casbas
Cross site Reference (XSRF) es una clase de ataqueque afecta a las aplicaciones web.
Los Ataques DDoS
Jaime Gutierrez, Mateu Llull
Los ataques de denegacin en la administracin desistemas.
Funcin de sobrescritura usandoptrace()
Stefan Klaas
Diferentes procesos de las tcnicas de inyeccin queincluyen ptrace().
-
7/14/2019 21_2007_ES
5/84
5www.hakin9.org hakin9 Nr 2/2006
50
74
32
est editado por Software-Wydawnictwo Sp. z o.o.
Direccin: Software-Wydawnictwo Sp. z o.o.ul.Bokserska 1, 02-682 Varsovia, PoloniaTfno: +48 22 887 10 10, Fax: +48 22 887 10 11www.hakin9.org
Produccin: Marta Kurpiewska [email protected]: Monika Godlewska [email protected] jefe: Katarzyna Chauca, [email protected]
Redactora adjunta:Anna Marcink [email protected]
Preparacin del CD: Rafa Kwany (Aurox Core Team)Composicin: Sawomir Zadrony [email protected]: Mariusz Muszak, Ral Nanclares, Magorzata Janerka,Rolando FuentesCorreccin: Jess Alvrez Rodrgez, Juan GamezBetatesters: Juan Prez Moya, Jose M. Garca Alias, Luis Peralta Nieto,Jose Luis Herrera, Alvaro CuestaPublicidad: [email protected]
Suscripcin: [email protected]
Diseo portada:Agnieszka Marchocka
Las personas interesadas en cooperacin rogamos
se contacten: [email protected]
Si ests interesado en comprar la licencia para editar nuestras revistascontctanos:Monika Godlewskae-mail: [email protected].: +48 22 887 12 66fax: +48 22 887 10 11
Imprenta: 101 Studio, Firma TgiDistribuye:coedis, s.l.
Avd. Barcelona, 22508750 Molins de Rei (Barcelona), Espaa
La Redaccin se ha esforzado para que el material publicado en la revistay en el CD que la acompaa funcione correctamente. Sin embargo, no seresponsabiliza de los posibles problemas que puedan surgir.
Todas las marcas comerciales mencionadas en la revista son propiedad delas empresas correspondientes y han sido usadas nicamente con nesinformativos.
Advertencia!
Queda prohibida la reproduccin total o parcial de esta publicacin
peridica, por cualquier medio o procedimiento, sin para ello contar
con la autorizacin previa, expresa y por escrito del editor.
La Redaccin usa el sistema de composicin automticaLos diagramas han sido elaborados con el programade la empresaEl CD incluido en la revista ha sido comprobado con el programa
AntiVirenKit, producto de la empresa G Data Software Sp. z o.o .
La revista hakin9 es editada en 7 idiomas:
ES PL CZ EN
IT FR DE
Advertencia
Las tcnicas presentadas en los ar tculos se pueden usar SLOpara realizar los tests de sus propias redes de ordenadores!La Redaccin no responde del uso inadecuado de las tcnicas
descritas. El uso de las tcnicas presentadas puede provocar laprdida de datos!
hakin9
68
82
58
78
Defensa
Violacin y Aplicacin de Polticasde Seguridad con IDS y Firewall
Arr igo Triulzi, Antonio Merola
Un Sistema de Deteccin de Intrusiones en Redes(NIDS) como herramienta de vericacin y como herra-mienta para la aplicacin de la poltica de seguridad.
Insalacin y conguracin de Open-
VPN Red Privada Virtual sobre SSLCsar Jimnez Zapata
Las VPN permiten extender cualquier red local atravs de una red no segura utilizando para elloencriptacin en los datos transmitidos.
Hardening de sistemasen entornos corporativos
Sancho Lerena
Una de las primeras tareas a realizar cuando hay queimplementar seguridad en cualquier red de sistemas
heterogneos, es la tarea de ajustar la seguridad deestos sistemas.
Para principiantes
RFID Otro round entrela funcionalidad y la seguridad
Ezequiel Martin Sallis
RFID y lucha eterna del equilibrio entre la seguridady la funcionalidad.
Tests de consumidoresEn este nmero os presentamos los tests de rewalls.
Entrevista
Cunta ms complejidadtecnolgica, la cadenade conanza se alarga...
Hablamos con Sancho Lerena, Director Tcnico dert ica Soluciones Tecnolgicas.
Prximo nmero
Avance de los artculos que se encontrarn en lasiguiente edicin de nuestra revista.
-
7/14/2019 21_2007_ES
6/84
Breves
www.hakin9.org6
Ha crecido la familiade gusanos parala mensajera instantneaWORM_SOHANADLa familia de gusanos para
mensajera instantnea WORM_
SOHANAD ha crecido, desde un
nacimiento tmido, hasta convertirse
en un poderoso conjunto de cdi-
gos maliciosos. Primero fue iden-
ticado como un gusano comn,
propagndose mediante mensaje-
ros instantneos, SOHANAD pero
ha crecido al grado de convertirse
en una familia que recluta otros
componentes, en un mtodo de
colaboracin dnde cada quien
juega un papel que contribuye al
resultado nal del ataque.Las primeras variantes del
SOHANAD tenan como objetivo
la poblacin usuaria de ordena-
dores de Vietnam. Las variantes
ms recientes, sin embargo, han
cedido en enfoque geogrco, y ha
crecido en trminos del nmero de
programas de mensajera instant-
nea que emplea, logrando mayor
coordinacin en otros aspectos
conforme van evolucionando.
Crean una impresora queregistra la identidad del
usuario en los documentosLas empresas japonesas Ricoh
y Hitachi Software Engineering
han desarrollado un sistema que
registrar las venas de los dedos
de un usuario en los documentos
impresos con el n de prevenir la
ltracin de informacin, informa la
prensa local.
El nuevo dispositivo requiere que
despus de ordenar la impresin el
usuario se identique poniendo su
dedo en un lector integrado en la
impresora, segn el diario econ-
mico Nihon Keizai.
La informacin recabada que-
dar grabada en los documentos,
gracias a la cual se podr rastrear
la identidad de la persona que
imprimi un documento, dice la
informacin.
El nuevo sistema tendr una
capacidad de almacenar infor-
macin de unas 100 personas
y costar 15 millones de yenes
(127.111 dlares). El objetivo de
ventas es de 200 unidades en tres
aos, dice el rotativo y agrega que
Ricoh tiene planes de desarrollar
junto a Hitachi Software otro tipode programas para incrementar la
seguridad en las ocinas.
DigitalParks y la ACM impulsan la seguridadinformtica en la administracin catalana
Apenas el 30% de los munici-pios catalanes ha adecuadosus bases de datos a la LOPD y el
50% ni siquiera cuenta con pgina
web Barcelona, 24 de Octubre de
2006 - Las administraciones loca-
les de Catalunya podrn mejorar
la gestin informtica y asegurar
el cumplimiento de la Ley Orgnica
de Proteccin de Datos (LOPD) y
la Ley de Servicios de la Sociedad
de la Informacin (LSSI) gracias al
convenio establecido entre DigitalParks y la Asociacin Catalana de
Municipios (ACM).
La digitalizacin de la adminis-
tracin local catalana es manies-
tamente mejorable: el 50% de los
municipios no tiene pgina web,
apenas un 30,7% cumple la LOPD y
slo un 16% permite a los ciudada-
nos realizar gestiones va Internet.
Estas deciencias tambin afectan
a la seguridad informtica de los
datos que gestionan los ayunta-mientos sobre los ciudadanos.
El acuerdo pone a disposicin
de los entes locales, a travs de la
ACM, el avanzado centro de datos
de Digital Parks en L'Hospitalet de
Llobregat y un amplio abanico de
soluciones de seguridad informtica,
proteccin de datos, presencia en
Internet y externalizacin tecnol-
gica. Digital Parks ofrecer aseso-
ramiento y condiciones preferentes
a los municipios, consejos comar-
cales y otros entes locales catalanes
integrados en la ACM en aspectos
como:
Cumplimiento de la Ley Orgnica
de Proteccin de Datos, utilizando
servicios de copias de seguridad,
encriptacin de las comunicacio-
nes y asesora tecnolgica;
Cumplimiento de la Ley de Ser-
vicios de la Sociedad de la Infor-
macin, con correo electrnico
seguro, monitorizacin de redes ysistemas y consultora de seguri-
dad;
Mejora de los servicios inform-
ticos y de telecomunicaciones
mediante la externalizacin,
evitando costosas inversiones
a las administraciones locales;
Presencia en Internet y servi-
cios telemticos, para acercar
la administracin local a los
ciudadanos ofreciendo pginas
web ms amigables, interactivas
y seguras que cumplan con nor-
mativas como la reciente Ley de
Accesibi lidad para las Adminis-traciones Pblicas.
El cumplimiento estricto de la
LOPD y el tratamiento adecuado de
los datos y sistemas informticos
en las administraciones locales es
frecuentemente difcil si se quiere
hacer de forma interna, ya que
exige inversiones en instalaciones,
equipos y personal que muchas
veces no son econmicamente
asumibles, aunque exista una rme
voluntad de llevarlas a cabo, mani-
esta Joan Maria Roig y Grau, Pre-
sidente de la ACM. Digital Parks
ofrece productos y servicios que
permiten a nuestros asociados dar
una respuesta a estas necesidades
con total independencia frente a los
operadores, fabricantes o distribui-
dores.
Este convenio es otro ejemplo
del compromiso de Digital Parks
de colaborar con todos los niveles
de los sectores pblicos y priva-
dos para mejorar la gestin y la
seguridad informtica en nuestro
pas, asegura Robert de Dalmases,
administrador de Digital Parks. El
acuerdo se suma a otras inic iativas
que hemos impulsado con organis-
mos como Fomento del Trabajo o
el COPCA que ponen de maniesto
que modernizar la gestin TIC no
es una cuestin de dinero, si no de
voluntad y exibilidad para encon-
trar una solucin personalizadapara cada necesidad.
-
7/14/2019 21_2007_ES
7/84
News
www.hakin9.org 7
Encuentran diversasvulnerabilidadesen IBM WebSphereApplication ServerSe han anunciado varias vulne-
rabilidades en IBM WebSphere
Application Server 6.1, que
pueden ser explotadas por
usuarios maliciosos con diversos
impactos como evitar restriccio-
nes de seguridad, o comprometer
sistemas vulnerables. El primero
de los problemas se debe aun
erroroff-by-one (*) en mod_
rewrite incluido en el tratamiento
de esquemas ldap que puede
ser empleado para provocar un
desbordamiento de bufer. La
segunda vulnerabilidad afectadurante el registro de operaciones
de respuesta, ya que las compro-
baciones de autenticacin Eal4
no se realizan como una de las
primeras acciones. Y por ltimo,
se ha comprobado que, por
defecto, todos los usuarios tienen
autorizacin handleservantnoti-
cation en Z/Os.
La web de lacomunidad Second Life,vctima de un virusEste domingo el mundo en
tercera dimensin Second Lifefue atacado por el virus Grey
Goo, un programa informtico
que se instala en la memoria de
la computadora y se duplica a s
mismo. El sitio tuvo que cerrar
su pgina por un corto tiempo
hasta que se pudo eliminar el
cdigo malicioso.
Grey Goo reprodujo anillos dora-
dos que giraban alrededor de
todo el sitio de juegos virtuales,
provocando que los servidores
de la compaa Linden Lab,
creadora del juego Second Life,
estuvieran ms lentos. Second
Life es un mundo virtual habi-
tado por personajes o avatares
que representan a personas
reales. El juego es utilizado por
ms de 1,5 millones de usuarios,
creciendo aproximadamente un
38 por ciento cada mes, segn la
firma. En el sitio Web se pueden
comprar y vender terrenos
virtuales y objetos con dinero
real. Se utiliza un copybot que
puede ser utilizado para hacer
rplicas de los objetos virtuales
de las personas sin necesidadde pagar derechos de propiedad
intelectual.
Seguridad en Internet con tarjetas de crdito
Recomendaciones de Visa Inter-nacional en lo que respecta a laseguridad en las terjetas de crdito.
Los usuarios de tarjetas de crdito
deben ser cuidadosos al momento
de manejar el uso de sus plsticos
y estar alertas al recibir cualquier
solicitud de informacin condencial
de parte de cualquier persona o ins-
titucin. Visa International entrega a
sus clientes toda la tecnologa de un
sistema de pago seguro.
Una de las instancias en quelos consumidores pueden estar
expuestos al robo de su informacin
condencial, es la circulacin de una
serie de correos electrnicos que
intentan que los receptores accedan
a un sitio web o que a travs del
mismo correo entreguen sus datos
personales o claves referidas a las
tarjetas de crdito.
Esto es el denominado Phishing,
el que consiste en intentar adquirir
informacin condencial, como lasclaves o nmeros de tarjetas de
crdito, haciendo creer a la persona
que los datos son solicitados por la
empresa de la tarjeta de crdito o
incluso por el mismo banco.
En este tipo de engao, los
receptores del correo son instados
a ingresar a un sitio web que simula
pertenecer a alguna institucin o
empresa de conanza, pero que sin
embargo corresponde a una pgina
web falsa. Generalmente el usuario
no detecta esto, y puede sentirse
conado de entregar la informacin
secreta.
Se recomienda en general:
Nunca entregues informacin
de tus claves, nmeros de tarje-
tas, de cuentas corrientes o de
cualquier otro producto de uso
personal y condencial;
Visa International y sus bancos
miembros nunca te solicitarn
informacin de ningn tipo ni porcorreo electrnico ni por telfono.
Incluso si el correo incluye infor-
macin e imgenes corporativas,
no confes en l. Los delincuen-
tes son capaces de replicar este
tipo de elementos;
Este tipo de correos tiene una serie
de caractersticas que te ayudarn
a identicarlos:
Siempre te solicitarn algn dato
personal, como tu RUT, nmero
de cuenta o tarjeta de crdito
o alguna clave;
Este tipo de mensajes suele
hacer un llamado urgente
a entregar los datos para evitaruna situacin importante, como
el bloqueo de la tarjeta de crdito,
el cierre de la cuenta corriente, la
actualizacin urgente de datos,
entre otros. Este mensaje busca
que el receptor entregue la infor-
macin sin medir las consecuen-
cias ni pensar en que se puede
tratar de un engao;
Para que entregues los datos,
te pedirn que accedas a algn
link, llenes un formulario o abras
algn archivo adjunto;
Generalmente se dirigen al recep-
tor del mensaje como Estimado
cliente o alguna frase similar,
pero no son personalizados con
el nombre y apellido del receptor;
Otra seal que te puede alertar, es
que el mensaje contenga faltas de
ortografa o problemas de redac-
cin, ya que generalmente estos
mensajes provienen del extran-
jero;
Si recibes un correo electrnicoo un llamado de este tipo, avisa
de inmediato a tu banco emisor.
-
7/14/2019 21_2007_ES
8/84
Breves
www.hakin9.org
Los tres principales moto-res de bsqueda en Internetse ponen de acuerdo parafacilitar la indexacin desitios webGoogle, Microsoft y Yahoo! acuer-
dan ofrecer soporte para Sitemaps
0.90, un protocolo que facilita a los
diseadores y programadores de
pginas web que sus creaciones
entren dentro de las bases de datos
de los motores de bsqueda. El
estndar Sitemaps consiste en una
forma de identicar en un website
aquellas pginas que queremos que
sean indizadas en los motores de
bsqueda. Esto se hace bsica-
mente mediante la inclusin de un
chero en formato XML en el que selistan las URL's de las pginas que
queremos indizar, de forma que el
robot de clasicacin del motor de
bsqueda (crawler) lee dicho chero
y guarda referencias a las pginas
que all se le dicen. Alternativamente,
el mtodo clsico es que el robot
de clasicacin examine el cdigo
fuente en busca de enlaces a otras
pginas del website, entrando en la
base de datos dichas referencias.
Los tres principales buscadores de
Internet, Google, Yahoo! y MSN de
Microsoft, han acordado ofrecer
soporte para la versin 0.90 deeste estndar, lo que signica que
a partir de ahora se les simplica
la tarea a los diseadores de
websites para que ordenen las
pginas que van a entrar en la
base de datos del motor de bs-
queda, ofrecindoles mayor control
sobre lo que se clasica y como se
clasica. Para saber como hay que
crear y rellenar el chero XML de
denicin de las pginas a clasi-
car, contamos con una estupenda
gua en el mismo sitio web de Site-
maps, en Protocol Sitemaps XMLformat: http://www.sitemaps.org/
protocol.html
Desde el punto de vista del usuario,
y segn arman los tres grandes de
Internet, la adopcin de Sitemaps
signicar que los resultados de las
bsquedas realizadas en cualquiera
de los tres motores sern ms
correctos y detallados.
Ms informacin:
http://www.sitemaps.org/ Website
ocial para el protocolo Sitemaps
http://www.google.com/press/
pressrel/sitemapsorg.html Nota
de prensa publicada por Googleanunciando su adopcin por parte
de los tres grandes.
Inteligencia Articial y Seguridad(virus, phishing y spam)
La Universidad Humboldt y Stratodesarrollan nuevas tcnicas deInteligencia Articial que resuelven la
incidencia del spam, el phishing y los
virus, adems de evitar la clasicacin
errnea de falsos positivos de spam.
Cerca del 80% del volumen de
emails que gestiona Strato en sus
servidores en toda Europa es spam.
Desde noviembre 2006, Strato incor-
pora una nueva tecnologa basada
en la investigacin cientca sobre
Inteligencia Articial que protege a susclientes frente a amenazas maliciosas
como el spam, el phishing o los virus.
El elevado volumen de spam
pone de maniesto que los tradicio-
nales sistema anti-spam no estn
consiguiendo atajar el problema. El
correo no deseado sigue colndose
masivamente en las bandejas de
entrada de nuestros emails y, lo que
an es ms grave, hay mensajes que
sin ser spam son clasicados inco-
rrectamente como tales, lo que obligaal usuario a revisar regularmente su
carpeta de spam para cerciorarse de
que no pierde ningn email valioso.
Strato ha cambiado radicalmente
la estrategia tradicional de lucha
contra el spam. Tras dos aos de
investigacin en colaboracin con
la Universidad Humboldt de Berln,
Strato ha desarrollado una tecnologa
de proteccin que consigue eliminar la
incidencia de spam, virus y phishing
prcticamente en el 100% de los
casos. La novedad de esta tecnologa
reside en la aplicacin de tcnicas de
Inteligencia Articial. En lugar de poner
el nfasis en el correo no deseado,
esta nueva tecnologa antispam se
centra ante todo en el correo deseado,
de forma que en la bandeja de entrada
del usuario entren nicamente todos
y cada uno de los correos deseados
sin que ninguno de stos resulte cla-
sicado errneamente como spam. El
margen de error es de 1-2 probabilida-
des en cada milln.Ms all de los ltros STA Sta-
tistical Token Analysis y DCC Dis-
tributed Checks and Clearinghouse
que suelen utilizar las tecnologas
antispam al uso, basados en el
bloqueo de emails que llevan en el
asunto determinadas palabras y en
el nmero de veces que se enva
un email, la tecnologa de Strato
aplica algoritmos matemticos que
incorporan dos nuevas variables
desarrolladas por expertos en Inte-
ligencia Articial.
En primer lugar, el sistema analiza
el mapa socialentre el destinatario y
el receptor del email, es decir, la pro-babilidad de que ambos estn unidos
por una relacin plausible como
la que une a cliente y proveedor,
a compaeros de trabajo, etc. Una vez
hecha esta comprobacin, el email es
autorizado y entregado a su destina-
tario. En caso de que la relacin entre
receptor y destinatario sea inveros-
mil, el mensaje es reconocido como
spam y retirado de la circulacin. El
anlisis del mapa social se realiza de
forma annima, sin violar la identidadde los usuarios ni la condencialidad
del contenido de las comunicaciones
y con un altsimo nivel de acierto.
La segunda tcnica de Inteligen-
cia Artical que se aplica a la protec-
cin antispam, antivirus y antiphising
de Strato est basada en la Teora
de Juegos. Sobre la base del ele-
vado volumen de comunicaciones de
Internet que gestiona Strato (ms de
15 millones de emails al da en una
jornada tipo), el sistema se entrena a
s mismo para aprendera detectar el
spam y es capaz de perfeccionar sus
barreras preventivas.
La tecnologa antispam es
igualmente aplicable y ecaz con
respecto a los ataques de virus.
Igualmente bloquea los intentos
de phising monitorizando las URLs
o direcciones de Internet a las que
fraudulentamente se intenta remitir
a los destinatarios de phishing. Si
la direccin no es la de una entidad
reconocida y autorizada, el men-saje es automticamente retirado
de la circulacin sin permitir que
sea entregado al destinatario.
-
7/14/2019 21_2007_ES
9/84
News
www.hakin9.org 9
El robo de contraseasmediante Firefox puedehaber sido explotadoLa vulnerabilidad en el gestor de
contraseas de Firefox de que
hablamos aqu hace un par de das
pudo haber sido explotada ya hace
un mes, teniendo como vctimas
a usuarios de MySpace. Mediante
una falsa pgina de login (que
Firefox rellena automticamente
con los datos reales de acceso del
usuario si ste decidi guardar-
los en el navegador, y sin mediar
ningn aviso ni pregunta, puesto
que la falsa pgina de ingreso es
una pgina personal que pertenece
tambin al dominio myspace.com),
los usuarios son redirigidos a supgina real, pero tras sufrir el robo
de sus datos de acceso, con lo que
el atacante puede acceder a sus
datos personales, etc...
Basta observar el fuente de la falsa
pgina de login para descubrir
que sta tambin enva los datos
de acceso a un servidor francs,
si bien esa cuenta parece actual-
mente deshabilitada.
Ante la gravedad de esta situacin
y el conocimiento de su explota-
cin activa (extremos ambos de
los que el descubridordel bug
alert a Mozilla hace diez das), enel propio foro de discusin sobre
este bug de Mozilla ya hay quienes
piden(de momento sin xito) que
se informe a los usuarios de Fire-
fox sobre este peligro en la mism-
sima pgina principal de Mozilla y
en la de descargas de Firefox.
Google distribuye ungusano a travs de su listade correoEn agosto de 2003 google distri-
buy el gusano Sobig.Fa traves
de una lista de distribucin gestio-
nada con Yahoo Groups.
Ahora nuevamente el equipo de
Google Video ha distribuido por
error el gusano w32/kapser.A
mediante una lista de distribucin
gestionada por Google Groups. Al
parecer en un primer momento fue
infectado un correo electrnico de
un miembro del equipo el cual lo
reenvi a la lista de distribucin de
Google automticamente.
Segn responsables de Google a
est lista estn suscritas 50.000
personas, de las cuales se des-
conoce el nmero exacto de decorreos afectados ya que no todas
reciben mensajes de correo.
Litcheld: Comparado con Oracle,Microsoft SQL Server es ms seguro
David Litcheld, reputado inves-tigador de seguridad (especiali-zado en bases de datos) demuestra,
aportando su extensa experiencia,
que la base de datos Microsoft SQL
Server es mucho ms segura que
Oracle. Ha publicado un informe que
segn l, no deja lugar a dudas.
El documento estudia la seguridad
de Microsoft SQL Server y Oracle
basndose en fallos (slo en su canti-
dad, no en su gravedad) reportados por
investigadores externos y solucionadospor el fabricante. Slo se han incluido
problemas que afectan a la propia
base de datos. Por ejemplo no se han
incluido vulnerabilidades de Application
Server o Intelligent Agent de Oracle ni
MDAC (que se considera parte de Win-
dows, no del servidor) de Microsoft.
El documento ofrece unas grcas
muy claras, que comparan los produc-
tos bandera de Oracle (Database 8, 9
y 10) contra Microsoft SQL Server 7,
2000 y 2005 durante los ltimos aos.Si bien la versin 7 de Microsoft sufri
numerosos problemas de seguridad,
desde entonces han disminuido drsti-
camente hasta la versin 2005, que no
sufre ninguno. Mientras, los problemas
de seguridad en Oracle han crecido de
forma desproporcionada.
Litcheld achaca estos resultados
de forma determinante al Security
Development Lifecycle que desarrolla
Microsoft para su producto, de forma
que aprende de sus errores mientras
que Oracle parece no tener nada de
esto, tropezando una y otra vez en
la misma piedra, y lo que es peor, ni
siquiera parecen entender los proble-
mas que estn intentando resolver.
El autor, consciente de que
a pesar de lo objetivo de los nmeros
las pruebas pueden levantar suspi-
cacias, se adelanta a las posibles
controversias que surgirn a partir
de su informe y responde por ade-
lantado algunas cuestiones:
No, Oracle no parece tan malo
por ser multiplataforma. Esto no
distorsiona los datos. Casi todos
sus problemas de seguridad
afectan a todas las plataformas;
S, hay varios investigadores inten-
tando encontrar fallos en el servidor
SQL 2005 de Microsoft. Y su cdigo
es ms seguro. Es tan simple como
que no los encuentran.
Litcheld adems, muestra en las gr-
cas slo fallos pblicos y soluciona-
dos, y adelanta que a Oracle todava
le quedan al menos 49 por corregir
y no estn incluidos en las estadsti-cas del informe. Como experto y des-
cubridor de la mayora de los fallos de
Oracle que se muestran, se siente
con la autoridad suciente como para
que sus resultados no sean refuta-
dos. Para l, si se busca seguridad,
la eleccin est clara.
En Microsoft, obviamente, ya
notaron su ventaja con respecto a la
seguridad y realizaron su propio estu-
dio. En una entrada en un blog ocial
titulado1 Year And Not Yet Counting...
,comparan las vulnerabilidades lista-
das en CVE (Common vulnerabilities
and Exposures) de Oracle, MySql e
IBM Database contra SQL Server
2005. Sus resultados son tambin
esclarecedores. Oracle, seguido de
MySql e IBM, sufren todos ms vulne-
rabilidades que el producto de Micro-
soft (versin 2005). De hecho, todava
no se le ha encontrado ninguna desde
que fue lanzado hace ms de un ao.
Se agradecen este tipo de informes
que abordan la seguridad desde un
punto de vista fuera de misticismos
y prejuicios. Litcheld no tiene rela-
cin con Microsoft, de hecho ha
encontrado muchas vulnerabilidades
en casi todos sus productos (aunque
bastantes ms en Oracle, donde se
siente especialmente "cmodo"). Por
tanto, no es slo una tpica compara-
cin sobre quin es menos inseguro
en una discusin basada en opiniones
y gustos, sino que avala la robustez en
un producto bien conseguido (ademsde una importante deciencia en
Oracle ya apuntada en otros boletines)
que bien merece ser mencionada.
-
7/14/2019 21_2007_ES
10/84
hakin9.live
www.hakin9.org0
En el disco que acompaa a la revista se encuen-
tra hakin9.live (h9l) en la versin 3.1.2 aur
distribucin bootable de Aurox que incluye
tiles herramientas, documentacin, tutoriales y material
adicional de los artculos. Para empezar el trabajo con
hakin9.live, es suciente ejecutar el ordenador desde
el CD. Despus de ejecutar el sistema podemos regis-
trarnos como usuario hakin9 sin introducir contrasea.
El material adicional se encuentra en los siguientes
directorios:
docs documentacin en formato HTML;
art material complementario a los artculos: scripts,aplicaciones, programas necesarios;
tut tutoriales, tutoriales tipo SWF.
Los materiales antiguos se encuentran en los subdi-
rectorios_arch, en cambio, los nuevos en los direc-
torios principales segn la estructura mencionada. En
caso de explorar el disco desde el nivel de arranque de
hakin9.live, esta estructura est accesible desde el sub-
directorio/mnt/cdrom.
Construimos la versin 3.1.2 aur h9l en base a la
distribucin de Aurox 12.0 y de los scripts de generacin
automatica (www.aurox.org/pl/live). Las herramientas no
accesibles desde el CD se instalan desde el repositorio
de Aurox con el programa yum.
En h9l encontraremos un programa de instalacin
(Aurox Live Instaler). Despus de instalar en el disco se
puede emplear el comando yum para instalar programas
adicionales.
Tutoriales y documentacinLa documentacin est compuesta de, entre otros, tutori-
ales preparados por la redaccin que incluyen ejercicios
prcticos de los artculos.
Contenido del CD1
Suponemos que el usuario emplea hakin9.live. Gra-
cias a ello evitaremos los problemas relacionados con
las diferentes versiones de los compiladores, la diferente
localizacin de los archivos de conguracin u opciones
necesarias para ejecutar la aplicacin en el entorno dado.
Especialmente para nuestros Lectores CD1 contiene
aplicaciones comerciales:
Powered Keylogger
Powered Keylogger es un programa profesional de au-
ditora de seguridad (versin de 6 meses) que permite
monitorear todas las actividades de un ordenador, uso de
Internet, teclas pulsadas, contraseas, correos electrni-cos entrantes y salientes, etc. El programa se ejecuta en
modo invisible, en el nivel kernel ms bajo del sistema
operativo; haciendo imposible que el programa sea local-
izado. Los informes tambin se mantienen escondidos.
Caractersticas:
Graba las actividades de las aplicaciones;
Graba todas las teclas presionadas;
Graba todos los clicks del ratn del ordenador;
Graba todas las contraseas, incluso aquellas archi-
vadas;
Monitorea todas las actividades en Internet;
Captura todos los correos electrnicos enviados y
recibidos;
Vigilancia visual de las actividades en el escritorio
(con capturas de pantalla);
Administracin de reportes;
Absolutamente invisible;
Fcil conguracin;
VIP Defense VIP Privacy
VIP Defense VIP Privacy te protege del potencial
riesgo, haciendo que a los delincuentes no les queda
Figura 1. hakin9live, Konqueror Figura 2. hakin9live, Konsole
-
7/14/2019 21_2007_ES
11/84
www.hakin9.org 11
hakin9.live
nada por robar. VIP Privacy permite a los usuarios
buscar y seguramente limpiar toda la informacin
almacenada dentro de tu sistema y de las aplica-
ciones instaladas. Esto, de ninguna forma, elimina
tus archivos privados ni cambia el contenido de los
documentos de usuario.
Vip Defense Privacy reconoce ms de 700 aplica-
ciones y unos miles de faltas del sistema que guardan
tus datos personales y que pueden ser empleadas por
los delincuentes. Vip Privacy te ofrecer una detallada
descripcin de cada falta de privacidad encontrada en
tu sistema. El proceso de bsqueda y eliminacin es
completamente ajustable a las necesidades individu-
ales, por lo que siempre tienes el control completo de
la situacin.
LANState
LANState genera el mapa de la red, que acelertener acceso a los anfitriones alejados a caracters-
ticas y a recursos, y el manejo de sos. El programa
tambin incluye un nmero de caractersticas tiles
para obtener la informacin sobre los ordenadores
alejados. El empleo de LANState hace esencialmente
ms fcil administrar y supervisar procesos en las re-
des de cualesquiera gama o tamao. 10-Strike LAN-
State es una solucin de administracin que permite
gestionar una red Microsoft Windows de manera muy
fcil gracias a un gran nmero de funciones muy prc-
ticas. LANState crea automticamente por ejemplo la
cartografa de la red, permitiendo as acceder muy
rpidamente a recursos y propiedades de los servi-
dores remotos y recuperar una gran cantidad de datos
de stos. LANState permite de igual modo verificar
el estado de tu red en todo momento. El programa
muestra la cartografa de tu red y permite verificar en
tiempo real el estado de los servidores y ordenadores
remotos:
Crea automticamente una cartografa de red esca-
neando el entorno de red de Windows o un conjunto
de direcciones IP. A continuacin, puedes guardar
esta cartografa, imprimirla o exportarla a un archivo
bitmap;
Precio de la solucin independiente del tamao de
la red. Da igual si administras 10 500 equipos, el
precio de la solucin es el mismo;
No requiere la instalacin de un cliente en los servi-
dores u ordenadores remotos;
Permite acceder a y administrar ordenadores re-
motos en slo unos clics gracias a la cartografa
de red creada automticamente por LANState. De
este modo podrs apagar y reiniciar los equipos y
servidores remotos, acceder a las fuentes y servi-
cios remotos, visualizar los informes de sucesos,
acceder al registro a distancia, hacer listas de los
procesos, los equipos, los servicios NT, y mucho
ms;
Facilita la administracin de los procesos sin importar
el tamao de la red gracias a la posibilidad de asociaral programa aplicaciones externas, como gestiona-
dotes de archivos o herramientas de administracin
a distancia;
Noticacin automtica mediante un mensaje en la
pantalla, una seal sonora o un e-mail en caso de
problema de red;
Permite enviar mensajes a los usuarios del dominio
gracias a una mensajera integrada ecaz;
Permite gestionar las conexiones a tus fuentes com-
partidas y recibir noticaciones cuando alguien se
conecta (soporte de logs, noticaciones sonoras y
listas negras);
Permite enviar mensajes a los usuarios del dominio
gracias a una mensajera integrada ecaz;
Permite gestionar las conexiones a tus fuentes com-
partidas y recibir noticaciones cuando alguien se
conecta (soporte de logs, noticaciones sonoras y
listas negras);
Contiene numerosas herramientas prcticas para
los administradores, como el escner de red, el es-
cner de puerto, ping, rastro de ruta, name lookup,
etc;
Es muy fcil de utilizar.
Figura 3. LANState, 10-Strike Software Figura 4. Pgina ocial de NetIntercept
-
7/14/2019 21_2007_ES
12/84
hakin9.live
www.hakin9.org2
NetIntercept
NetIntercept es una aplicacin de monitorizacin, anli-sis y visualizacin de red. Captura trco de red (el
paquete completo, no solo las cabeceras), archivos y
manipula el trco capturado, reconstruyendo bajo de-
manda sesiones entre equipos de la red monitorizada.
El anlisis de NetIntercept muestra correos electrni-
cos, pginas web, imgenes y otros archivos que se
transeren por la red. Es capaz de reconstruir hasta
999.999 sesiones a la vez y proporciona una vista com-
prensible de los datos analizados.
NetIntercept se vende con diferentes variedades
de configuracin, proporcionando capturas y alma-
cenamiento de hasta 1900 Gigabytes de trfico dered. Para adquirir una versin completa de NetInter-
cept, por favor contacte con Sandstorm Enterprises
en el telfono +1 781-333-3200, enve un correo elec-
trnico a [email protected] o realice un pedido
en http://sandstorm.net/products/quote.
El programa NetIntercept que se proporciona
en CD-ROM es una versin de demostracin. Este
programa que se ejecuta en sistemas Windows NT,
2000 y XP, esta sujeto a los lmites establecidos en el
acuerdo de licencia de usuario nal que se muestra du-
rante el proceso de instalacin. Este software de dem-
ostracin esta limitado al anlisis de 50 Megabytes de
datos por base de datos. Adicionalmente, las bases de
datos estn limitadas a 500 conexiones, el programa
no soporta captura de trco de red en tiempo real
y ciertas funciones se encuentran deshabilitadas en
esta versin de demostracin. Tenga en cuenta que el
manual que se instala con la versin de demostracin
del programa corresponde al manual de la versin
completa del producto.
Cuando instale NetIntercept, podr abrir la base de
datos de ejemplo incluida en la instalacin y utilizar el
programa para realizar anlisis y generar informes en
dicha base de datos. Una vez que Netintercept haya
abierto la base de datos de ejemplo, se recomienda ir a
la cha Summary(para ver la totalidad de la informacin
de la base de datos), a la cha Views (para consultar
informacin referente al equipo, imgenes capturadas
y pginas web), y a la cha "Forensics" (para realizar
bsquedas en la base de datos). Por favor, consulte elarchivo README y el paseo de demostracin por la
aplicacin que se encuentran en la raz del directorio de
instalacin.
System Tweaker
System Tweaker es una aplicacin que permite
modificar la configuracin del software a fin de op-
timizar el sistema del ordenador. System Tweaker
permite tanto a los usuarios avanzados como a los
inexpertos hacer su sistema ms rpido, ms eficaz
y ms seguro. Agrupando todos los importantes
ajustes del sistema en una fcil de navegar interfazde usuario te permite ajustar el sistema a tus necesi-
dades individuales.
Con System Tweaker puedes:
tomar control de tu sistema con hasta un mil tweaks
diferentes;
navegar de una manera simple y rpida a travs de tu
Windows y los ajustes del sistema;
hacer tu sistema Windows ms seguro;
incremantar la eciencia del sistema;
simpilcar y acelarar las proceduras de Startup y
Shutdown. l
Figura 6. System Tweaker Figura 7. Pgina ocial de Vip Defense
Figura 5. Powered Keylogger de Eltima
-
7/14/2019 21_2007_ES
13/84
Si no puedes leer el contenido del CD y no es culpa de un dao
mecnico, contrlalo en por lo menos dos impulsiones de CD.
En caso de cualquier problema con CD rogamos
escribid a: [email protected]
-
7/14/2019 21_2007_ES
14/84
hakin9.live
www.hakin9.org4
En este nmero vamos a presentaros la se-
gunda parte del curso CCNA. El objetivo del
presente cursillo es que los clientes conozcan la
tecnologa de la empresa Cisco y ayudarles en la con-
guracin de los routers Cisco. El objetivo principal de la
ponencia es presentar la informacin bsica requerida
durante los exmenes certicados Cisco CCNA. La po-
nencia se concentrar sobre todo, en la parte prctica.
Sin embargo, no faltarn descripciones de los elementos
necesarios con el trabajo en un equipo real o simulado.
Cisco introdujo varios niveles de certicacin, desde
los bsicos, para cuya consecucin se requieren conoci-
mientos sobre redes pequeas, que incluyen el mercado
de pequeas ocinas y redes locales, hasta los ms
avanzados y complicados entornos de red. Adems de
la divisin en diferentes niveles de dicultad, los respec-
tivos ttulos se agruparon teniendo en cuenta los tipos detemas a los cuales se reeren. As podemos conseguir
el certicado de diseo de redes, conmutacin y routing,
protecciones, tcnicas de conmutacin en las redes ex-
tendidas WAN etc.
Para conseguir cualquier certicado Cisco, debemos
aprobar al menos uno y normalmente varios exmenes.
Los conocimientos del candidato se comprueban terica
y tambin prcticamente. Si bien los niveles bsicos, por
ejemplo CCNA, se pueden conseguir de manera estn-
dar, esto es, al aprobar un examen escrito; en cambio, el
ttulo CCIE requiere aprobar el examen que comprueba
tanto los conocimientos de teora como los conocimien-tos prcticos. Las pruebas informticas se realizan en los
centros de exmen Sylvan Prometric y cuestan entre 100
y 300 dlares.
El Certicado CCNA (ing. Cisco Certied Network
Associate) es el primer nivel del certicado editado por
la empresa Cisco. Este certicado conrma que coneces
los conocimientos necesarios para la instalacin, con-
guracin y administracin de pequeas redes informti-
cas (de hasta los 100 hospedajes). Se puede aprobar el
examen de certicacin de dos formas. El primero est
compuesto de dos exmenes: 640-821 INTRO y 640-811
ICND, que duran respectivamente 75 minutos y 60 mi-
nutos. El segundo modo est compuesto del examen deuna parte (640-801 CCNA) que dura 90 minutos e inclu-
ye los temas de los dos exmenes del primer modo. Los
exmenes se realizan con el ordenador e incluyen tanto
las preguntas tericas (en forma de la prueba de pregun-
tas de opcin mltiple) como la parte de simulacin que
requiere realizar ciertas actividades de conguracin en
el router o conmutador (switch).
Como curiosidad podemos mencionar que el examen
CCIE de dos das es terico y prctico (el nivel superior
de certicacin de Cisco) y se lleva en el laboratorio de
Bruselas. La mayora de las personas no son capaces
de aprobar el examen a la primera. Es una de las prue-bas ms difciles. Todos los certicados Cisco deben
renovarse cada cierto tiempo, normalmente cada dos
Contenido de CD2 CCNAo tres aos, es decir, es necesario volver a aprobar los
exmenes.
El cursillo est dividido en la parte terica y prcti-
ca. Al principio conoceremos los trminos bsicos y los
comandos empleados en la conguracin de los routers
Cisco. Los laboratorios se dividen en:
lConexin al router real Cisco y la comunicacin al
routera travs de la aplicacin HyperTerminal. Abri-
mos la sesin HyperTerminal. Veremos como por
primera vez ejecutar el routera travs del empleo de
los respectivos comandos y de la secuencia de inicio
y realizar la conguracin bsica del routerreal.lRestablecimiento de contraseas en el router. En
esta parte se describieron unas tcnicas de restable-
cimiento de contraseas para los router Cisco. Las
tareas enumeradas aqu se pueden realizar en la ma-yora de los routerCisco sin modicar los equipos.
l Introduccin en la interfaz de usuario y comandos
bsicos. En cambio, aqu durante algunos ejercicios
conoceremos los bsicos comandos y opciones
empleadas desde el intrprete de comandos de los
routerCisco.lCDP. Conoceremos los mensajes bsicos relaciona-
dos con el protocolo CDP (Cisco Discovery Protocol)
que es protocolo de la capa 2 que une los protocolos
de las capa inferiores de los medios fsicos con los
protocolos de las capas superiores de red. CDP se
emplea para recibir informacin sobre los dispositivosvecinos. Conguracin del mensaje del da MOTD
(Message of the Day), es decir el mensaje presenta-
do en el momento de entrar. Es til para suministrar
mensajes dirigidos a todos los usuarios de la red.l Introduccin en la conguracin de las interfaces de
red y las bases del protocolo IP.l Protocolo ARP. Conoceremos las bases del prctico
empleo del protocolo ARP, es decir, protocolo que
sirve para translacin de las direcciones de red en
direcciones de hardware de las tarjetas Ethernet. Em-
pleado en las redes Ethernet, FDDI y TokenRing. l
Figura 1.Cisco CCNA
-
7/14/2019 21_2007_ES
15/84
Si no puedes leer el contenido del CD y no es culpa de un dao
mecnico, contrlalo en por lo menos dos impulsiones de CD.
En caso de cualquier problema con CD rogamos
escribid a: [email protected]
-
7/14/2019 21_2007_ES
16/84
6
Herramientas
www.hakin9.org
Inicio Rpido: Sin duda alguna es una realidad quehoy en da hay personas capaces de acceder a orde-
nadores a travs de numerosas vulnerabilidades yque en la mayora de los casos no somos conscientes
por un lado de que han accedido a nuestro ordena-
dor y por otro quien ha entrado y de que forma lo ha
realizado.
La seguridad informtica, ha evolucionado desde
sus inicios hasta hoy, y existen actualmente mtodos
muy buenos para poder localizar ataques que sufren
nuestros sistemas y redes, uno de los mtodos utiliza-
dos son los IDS.
Por un lado nos encontramos con un sistema IDS
cuyo uso no es muy extendido en ordenadores perso-
nales que forman nuestra red, ya sea por falta de apli-caciones como la que explico en esta seccin o porque
normalmente caemos en el error de montar este tipo
de sistema en servidores crticos, pero nos olvidamos
del resto de la red.
HIDS (Host IDS), es un IDS que controla a unasola mquina, se encarga de monitorizar que el com-
portamiento de dicha maquina sea bueno, un IDS de
host es capaz de protegernos ante la entrada de un
spyware hasta detectar si nos estn creando nuevos
servicios, usuarios, etc. NIDS (Network IDS), son IDSque analizan todo el trfico de red que hay en ese
segmento, son los ms utilizados en empresas. DIDS,este es un IDS que mezcla el HIDS y el NIDS (su uso
es limitado dado la complejidad de su despliegue y
gestin).
Pongmonos en situacin: Como buenos Analis-tas de Seguridad, tenemos nuestra red protegida y
controlada de accesos (a nivel perimetral) mediante
Firewalls, Appliances antivirus para combatir con las
plagas de Internet y como valor aadido tenemos NIDS
en segmentos crticos.
Pues bien, un da vemos como todo estos sistemas
no sirven de nada si cualquiera de nuestros usuarios
cae vctima de un malware (ya sea por el puerto 80 opor un correo no legtimo) cuya rma no es identicada
por el antivirus ni por los IDS, y es ms su ataque
se centra en la maquina, modicando por ejemplo
el chero Host para inutilizar el antivirus e incluso
para realizar ataques de Pharming (fraude bancario),
aadiendo en el arranque programas como troyanos,
creando nuevos usuarios en el sistema, etc, y lo malo
es que todo esto sucede a oscuras tanto del usuario
como de nosotros cuya nalidad es proteger nuestra
red en su mxima integridad.
Es aqu en esta situacin real donde tiene sentido
la aplicacin presentada: Patriot.
Patriotes una herramienta anti- spyware/malware/troyanos /dialer /ataques e incluso virus, funcionamonitorizando la conguracin de Windows y aler-
tando en el caso que detecte un cambio que pueda
haber sido provocado por la accin de cualquier tipo
de Malware.
Patriot es una potente herramienta capaz de alertar
ante situaciones tales como por ejemplo, si nos infec-
tamos con un spyware que quiere redirigirnos a una
pgina Web para motivarnos a comprar o simplemente
para subir en visitas, en este caso Patriot alerta decualquier intento de modicacin de la conguracin
del navegador Internet Explorer, como sabemos lamayora del malware va destinado a este navegador (y
su uso en empresas es casi obligatorio por compatibi-
lidad con herramientas corporativas).
Sistema Operativo:Windows NT/2000/XPLicencia: Freeware
Destino:IDS (Sistema de deteccin de intrusos) de HostPgina Ofcial:http://www.security-projects.com/
Patriot es una herramienta IDS de Host, capaz de monitorizar el comporta-
miento de nuestro sistema sin necesidad de rmas ni patrones y adems nos
ofrece la funcionalidad de IPS (Sistemas de Prevencin de Intrusos).
Patriot
Figura 1. Pantalla con la interface de Patriot y susparmetros de conguracin
-
7/14/2019 21_2007_ES
17/84
17www.hakin9.org
Herramientas
En el caso de que nos infecte el sistema un virus, o
troyano, lo siguiente que hace es poner una entrada en
el registro de Windows para que al reiniciar el sistema,
se ejecute el proceso de dicho virus o troyano, en este
ejemplo, Patriot detecta las modicaciones en las Keysrelacionadas con el arranque de Windows y nos per-
mite eliminarlas en el mismo momento.
Uno de los ataques que ms fraude ha ocasionado
aos atrs, sobre todo en el mbito domestico, son los
Dialer, estos ataques nos crean conexiones nuevastelefnicas y se conectan a lneas de taricacin
cara en este ejemplo, Patriot nos avisa de que se ha
creado una nueva conexin telefnica y nos permite
eliminarla.
Cuando nuestro sistema se infecta con un virus,
est rpidamente se copia en diferentes directorioscrticos Patriot es capaz de decirnos en tiempo reallos cheros que se crean en nuestro sistema, esto nos
viene muy bien para llevar un control total, adems dealertarnos Patriot nos da la opcin de poder eliminar-
los.
En nuestra red se puede dar el caso de que una
mquina este comprometida por un atacante y esto
intente realizar ataques a otros ordenadores, uno
de los ataques ms potentes a nivel de red Lan son
los Man in the Midle (MitM); Estos son complejos derealizar y muy efectivos, gracias a Patriot estaremos
protegidos de ellos ya que monitoriza la tabla ARP y
alerta en caso de cambio.
Se puede dar el caso que un atacante o incluso
un usuario de nuestra red, intente acceder a recursoscompartidos de otras mquinas con sistema Operativo
Windows, este caso Patriot nos avisa de los usuarios
que estn conectados al sistema y a que recurso estn
conectados porNetbios.Cuando un Intruso se hace con nuestra mquina
mediante cualquier vulnerabilidad, probablemente su
intencin sea mantenerse en el sistema, para ello lo que
hace es crear un usuario en el sistema (adems en la
mayora de los casos muy parecido algn usuario o pro-
ceso del sistema, por ejemplo, usuario WinxpSupport,este tipo de usuario seguro que un usuario normal no lo
borra por miedo a dejar inestable el sistema.
Patriot monitoriza la creacin de usuarios avisandoque se han creado y dando la posibilidad de no dejar
que se creen.
Si por ejemplo nuestras mquinas se enfrentan con
un ataque avanzado como por ejemplo los complejos
RootKits, Patriot detecta la instalacin de nuevosdrivers, muy til para detectar Rootkits en nuestrosistema.
Una variante ms fuerte y daina del Phishing,
es el Pharming, este ltimo se basa en vulnerar los
DNS, ya sea a nivel de ISP o a nivel local de nuestra
mquina, Patriot monitoriza los cambios producidos en
el chero Hostesto es muy til ya que gracias a estaherramienta podemos evitar ataques de Pharming y/o
cualquier intencin negativa que tenga el malware en
nuestro sistema.
Tambin puede que nuestra mquina pueda sercomprometida por un intruso, por ejemplo un Spa-mmer para utilizarnos como ordenador Zombi paramandar Spam desde nuestra ubicacin, gracias a la
monitorizacin de Patriot, que controla el envi masivo
de correo hacia un servidor SMTP podemos detec-tar infecciones de virus en busca de propagacin o
spyware para envi de correo.
Patriot tiene otras funcionalidades que podemos
ver y congurar (activar o desactivar fcilmente).
Otros Rasgos tiles: Patriot tiene una interface deconguracin muy sencilla, no consume recursos del
sistema con lo que es un sistema perfecto para unirlocon otros que se basen en rmas y patrones (lo bueno
de Patriot es precisamente eso, que no requiere de
rmas y patrones sino que se basa en hechos certeros
y en tiempo real).
En el caso de Patriot y en esto hay que agradecer el
esfuerzo a su creador (Yago Jess Molina) no solo puede
actuar como IDS de Host, sino que tambin hace las fun-
ciones de IPS (Sistema de Prevencin de Intrusos) con lo
que podemos bloquear y eliminar los ataques en tiempo
real sin que estos lleguen a daar el sistema.
Como hemos podido comprobar la Seguridad
Informtica es un tema homogneo y compacto ya que
todo tiene que estar lo ms protegido posible, sin duda
alguna esta herramienta ayudar a muchos adminis-
tradores de seguridad a tener una red ms controlada,
able y por supuesto segura.
La garanta de no tener que depender de si han
salido rmas para los nuevos virus/spyware/malware,o la deteccin de un ataque ms minucioso, nos har
la vida ms fcil y productiva dentro de nuestro trabajo
por el esfuerzo de proteger nuestra empresa ante cual-
quier ataque o intrusin.
Gonzalo Asensio Asensio
Analista de Seguridad InformticaMiembro de ISSA-SPAIN
Autor del libro Seguridad en Internet
(http://www.seguridadeninternet.es)
Figura 2. Pgina ocial de Security Projects
-
7/14/2019 21_2007_ES
18/84
8
Herramientas
www.hakin9.org
La deteccin de ataques en las redes corporativas son
un problema difcil de solucionar. Nos encontramos ante
una paradoja, los sistemas de deteccin que tenemospara detectar estos ataques generan una gran cantidad
de informacin por su alta sensibilidad y esto imposibilita
la gestin y anlisis de esta informacin. Se trata de la
paradoja de la informacin.
Adems esta informacin aparece de forma atmica,
sin relacin entre s, lo que diculta la abstraccin.
Es en este punto donde aparecen los sistemas SIM,
veamos una descripcin general.
Los sistemas Sim centralizan el proceso de anlisis
de eventos de seguridad. SIM es el acrnimo de Security
Information Management. Las principales caractersticas
de estos sistemas podran reducirse a estas cuatro:
Anlisis de eventos de seguridad de fuentes diver-
sas;
Correlacin de eventos para reducir falsos positivos;
Posibilitar la reaccin activa, evitando daos mayo-
res.
Anlisis post-incidentes. Se obtiene informacin para
mejorar la seguridad de la red y la deteccin de nuevos
ataques.
El problema de estos sistemas reside en su coste,
tanto de licencia como de implantacin dentro de las
redes a monitorizar.Llegamos a OSSIM y la cultura open source, de
hecho su nombre completo es Open Source Security
Information Management.
Esta es su denicin formal: OSSIM es una distribu-
cin de productos open source integrados para constituir
una infraestructura de monitorizacin de seguridad[1].
Basada en herramientas open source de gran acep-
tacin en el mundo de la seguridad: Nessus, Snort, Ntop,
nmap, rdd, arpWatch,ACID, Spade...
Nos aporta funcionalidades como un cuadro de
mandos de alto nivel. Con l podemos acceder de
forma sencilla a toda la informacin que se esta moni-torizando con un simple vistazo. Como por ejemplo un
monitor de riesgo, vulnerabilidades, sesiones activas,
servicios.
Permite la deteccin de patrones de ataque y situa-
ciones anmalas. Vase como ejemplo el patrn de
funcionamiento de un Troyano que abre un puerto no per-
mitido dentro de un host de la red que su funcionamiento
normal no contempla el uso de ese puerto (DNS).
La correlacin es la capacidad de relacionar y proce-
sar la informacin una vez que esta es homognea. Nos
Sistema operativo: All POSIX (Linux/BSD/UNIX-likeOSes
http://sourceforge.net/softwaremap/trove_list.php?form_cat=200
Licencia: BSD License
http://sourceforge.net/softwaremap/trove_list.php?form_cat=187
Destino:Administracin de Red
Pgina de inicio: www.ossim.net
Open Source Security Information Managment es una herramiente que sirve
para monitorizacin de eventos de seguridad en redes.
Open Source Security InformationManagement
Figura 1. La arquitectura de una topologa monitorizada por OSSIM
Red Gestion Ossim
Red
ExternaSensories
Red Corporativa
FW
1
Recoleccin / Normalizacin
Priorizacin
Valoracin de Riesgo
Correlacin
Indicadores
Monitores Cons. Forense
Cuadro de mados
32
B.B.D.D
eventos4
-
7/14/2019 21_2007_ES
19/84
19www.hakin9.org
Herramientas
permite crear nuestras propias reglas de correlacin.
En OSSIM la correlacin forma parte del ncleo y esta
orientada a adaptarse a las nuevas herramientas que se
integren en el sistema.
La valoracin de riesgo proporciona la capacidad
de decisin sobre la ejecucin de una accin ante
una amenaza, viendo la amenaza como un evento
que tiene asociada una abilidad y probabilidad de
ocurrencia.
Figura 1 presenta la arquitectura de una topologa
monitorizada por OSSIM y su funcionamiento interno.
Desde el cuadro de mandos podemos ver las alarmas
ms recientes. Estas alarmas se dispararn por medio
del motor de correlacin.
El monitor de riesgos mostrar la situacin de cada
indice de riesgo segn CALM.
Los eventos los procesan los sensores y son evia-
dos al servidor OSSIM por medio de un protocolo
abierto que une al sensor con la capa de recoleccinde eventos(1).
Los eventos se normalizan y se guardan si procede
en la base de datos de eventos(2).
Llegado este momento el se determinara su nivel
de prioridad y su nivel de riesgo. Si se estima opor-
tuno este nivel generar una alarma en el panel de
control(3).
Las alertas cualicadas pasan al motor de correla-
cin que actualizara su estado y realimenta de nuevo el
proceso anterior. Este motor ser el que nos aporte el
nivel de aprendizaje que renar la deteccin de anoma-
lias(4).
A modo de resumen debemos hacer hincapi en
el motor de correlacin de esta herramienta y en su
manera de tratar y manipular los eventos que se pro-
ducen en una red. La correlacin tiene un papel fun-
damental de cara a la gestin de grandes cantidades
de eventos, ya que es capaz de aumentar la abilidad
de las alarmas a part ir de las anomalias detectadas por
parte de los sensores de la red. Todo esto con la unin
de software libre.
Estas lneas no son ms que la punta del iceberg,
OSSIM es un ocano de posibilidades por explotar. Por
ello os animo a que esto slo sea una mera introduccin y
que consultis la documentacin ocial de la herramienta.
Desde el cuadro de mandos podemos ver las alarmasms recientes. Estas alarmas se dispararn por medio
del motor de correlacin.
El monitor de riesgos mostrar la situacin de cada
indice de riesgo segn CALM (Compromise and Attack
Level Monitor).
Francisco Jess Gmez Rodrguez
P U B L I C I D A D
-
7/14/2019 21_2007_ES
20/84
www.hakin9.org0
Ataque
La idea bsica de XSRF es simple; un
atacante engaa de alguna manera al
usuario para que realice una accin de-
terminada en la aplicacin objetivo/vulnerable
sin que el usuario sepa que acciones estn
ocurriendo por debajo.
La forma de trabajo de las sesiones en las
aplicaciones web implica que el ID de sesin
temporalmente tiene el mismo signicado que
las credenciales originales de usuario. Esto
quiere decir que, mientras la sesin no ha ex-
pirado, una aplicacin web trata las peticiones
con IDs de sesin vlidos como peticiones de
el usuario que previamente inicio la sesin. Si
un atacante obtiene el ID de sesin de un usua-
rio autenticado, es posible realizar peticiones
con los mismos privilegios que el usuario ori-
ginal. Como resultado de esto, el ID de sesin
ha sido uno de los principales objetivos en los
ataques de aplicacin. Por una parte uno de los
objetivos de ataques cross site scripting (XSS)
es inyectar cdigo malicioso javascript en la
respuesta de una aplicacin vulnerable con el
objetivo de ltrar la ID de sesin de el atacan-te. En dichos ataques, el atacante abusa de el
hecho que las aplicaciones web no pueden dis-
tinguir entre peticiones con IDs de sesin con
origen el usuario legtimo, y peticiones con IDs
de sesin robadas por un atacante.
En contraste, cross site request forgery
(XSRF) es una forma relativamente desconocida
de ataque que no esta motivada con la intencin
de robar la ID de sesin. En vez de ello, los
ataquesXSRFabusan de el hecho que las ma-
yoras de aplicaciones web no pueden distinguir
entre peticiones de usuario intencionadas, y peti-
ciones que el usuario realizo pero sin tener cono-
cimiento de ello. Por ello no es necesario robar la
ID de sesin es el propio usuario con privilegios
el que realizar la accin por nosotros.
Ataques CSRF: Ataques defalsicacin de peticiones
Emilio Casbas
Grado de dicultad
Cross site Reference Forgery (XSRF) es una clase de ataque que
afecta a las aplicaciones web con una estructura de invocacin
predicible. Existe en aplicaciones con una estructura de accin
predicible y que usen cookies, autenticacin de navegador o
certicados de cliente.
En este artculo aprenders...
En qu consiste un ataque CSRF;
Diferencia principal con respecto al ataque
XSS;
Diferentes tipos de ataque;
Proteccin contra este tipo de ataques.
Lo que deberas saber...
Conocimiento del protocolo HTTP;
Falsicacin de peticiones.
-
7/14/2019 21_2007_ES
21/84
Ataques CSRF
www.hakin9.org 21
FuncionamientoLos ataques CSRF implican peticio-
nes HTTP falsas, para continuar es
importante comprender que es una
peticin HTTP. La web es un entorno
cliente/servidor y HTTP (Protocolo
de transferencia de hipertexto) es
el protocolo que utilizan los clientes
web y servidores para comunicarse.
Un cliente web (comunmente un na-
vegador web) enva una peticin web
a un servidor web, y el servidor web
devuelve una respuesta HTTP. La
peticin de el cliente y la consiguien-
te respuesta de el servidor crean una
transaccin HTTP. Un ejemplo bsi-
co de una peticin HTTP podemosver en la Figura 1.
En ms detalle, la peticin HTTP
contiene estos datos (ver Figura 2).
De una manera ms detallada, lo
que realmente ocurre entre nuestro
navegador y el servidor web: ver
Listado 1.
En el ejemplo anterior se esta ac-
cediendo a la pgina www.hakin9.org
y podemos ver varias cabeceras (en
negrita) en las peticiones HTTP. La
cabeceraHost
es un requerimiento deHTTP/1.1. Existen multitud de cabece-
ras que pueden ser incluidas en una
peticin. Para no complicar este art-
culo se omitirn la mayora de ellas y
slo se trabajara con las necesarias.
Mtodos de HTTPLos ataques CSRF se realizan prin-
cipalmente en aquellas aplicaciones
que utilizan el mtodo GET para pa-
sar los parmetros solicitados pero
tambin es posible realizar este ata-
que en aplicaciones que utilizan el
mtodo POST, pero antes de seguir,
veremos que son estos mtodos y
para que se utilizan. HTTP dene
una serie de mtodos que indicarn
el mtodo interpretado para el objeto
identicado en la URL, por ejemplo:
GET http://www.hakin9.org/pl/
img/glider.png HTTP/1.1
Utiliza el mtodo GET para conse-
guir el objeto glider.png que en estecaso se trata de una imagen.
Los mtodos ms comunes de
HTTP son:
GET: Solicita un documento del
servidor;
HEAD: Solicita slo las cabeceras
de un documento del servidor;
POST: Enva datos al servidor
para procesarlos;
PUT: Almacena el cuerpo body
de la peticin en el servidor;
TRACE: Traza el mensaje a tra-
vs de servidores proxy hacia el
servidor;
OPTIONS: Determina que mto-
dos puede usar un servidor;
DELETE: Borra un documento
de el servidor.
Hay que tener en cuenta que no
todos los mtodos son implemen-
tados por todos los servidores web,
pero un servidor web para cumplir
la especicacin HTTP1.1 slo ne-
cesita implementar el mtodo GET y
HEAD. Los mtodos que nos ocupan
son GET y POST.
GET: es el mtodo ms comn,
y recupera cualquier informacin
identicada por la URL, como ya
hemos visto.
POST: El mtodo POST fue
diseado para enviar datos a el ser-
vidor. En la prctica es usado para el
Figura 1. Transaccin HTTP entre el cliente y el servidor
Peticin HTTP
Dame el documento IIamado /index.pl
Respuesta HTTP
OK, aqui est, es de tip text/htmlCliente Web
www.hakin9.org
Servidor Web
Figura 2. La peticin HTTP en detalle
GET /Index.pl HTTP/1.1 LInea de comienzo HTTP/1.0.200 OK
Content-type: text/html
Content-length: 61
Aqui va el mensaje
Expires: Thu, 19 Nov 1981
08:52:00 GMT
Cabeceras
Cuerpo de el
mensaje "body"
Accept: text/html
Host: www.hakin9.org
Figura 3. Mtodo GET
GET / HTTP/1.1Host: www.ejemplo.es
GET / comprar.php?symbol=OBJX&preciol1500&cantidad=3Host: stocks.tienda.es
www.ejemplo.es victima
Ataque CSRF
stocks.tienda.es
HTTP/1.1 200 OK
Content-Length: 61
...
...
3
2
1
-
7/14/2019 21_2007_ES
22/84
www.hakin9.org
Ataque
2
soporte de los formularios HTML.
Los datos rellenados en un formu-
lario son enviados a el servidor de
una manera ordenada tal y como la
aplicacin que los esta esperando
los pueda procesar correctamente,
por ejemplo un programa php que
los procesa adecuadamente.
Despus de dar un breve repaso
a los principales mtodos de HTTP,
ahora nos centraremos en la infor-
macin que nos interesa para este
artculo. Hemos visto los principales
mtodos de HTTP, nos centramos
con los que nos ocupa este artculo,
GET y POST.
Diferencias entre GET y POST
El ataque CSRF se centra en las
aplicaciones que utilizan tanto el
mtodo GET como el POST para
realizar sus acciones, pero a travs
de el mtodo GET es ms fcil de
llevar a cabo. Vemos las diferencias
entre estos mtodos.
En HTML podemos especicar
dos mtodos para enviar la informa-
cin de un formulario. El mtodo es
especicado dentro de un elementoFORMusando el atributo METHOD
como en este ejemplo:
La diferencia entre el mtodo GET y
el POST est en la forma que codi-
can o envan los datos a el servidor.
Mientras que el mtodo GET enva
los datos en la url, el mtodo POST
lo hace en el cuerpo de el mensaje.
Las recomendaciones ociales (http:
/ /w ww.w3.org/Protocols /r fc2616 /
rfc2616-sec9.html#sec9) recomien-
dan cuando utilizar un mtodo y cuan-
do utilizar otro, pero esto est fuera de
nuestro alcance en este artculo.
CSRF: Ataque bsicoLa variedad ms comn de ataque
CSRF usa el tag imgde el lenguage
HTML para falsicar la peticin y uti-lizando el mtodo GET. Para explicar
como se puede conseguir esto asu-
mimos que una peticin para http://
Listado 1. Lo que ocurre entre el navegador y el serviodor
GET / HTTP/1.1
Host:www.hakin9.org
User-Agent:Mozilla/5.0
(Windows;U;WindowsNT5.1;en-US;rv:1.7.12)
Gecko/20050915
Accept:application/x-shockwaveash,text
/xml,application/xml,application/xhtml+xml,
text/html;q=0.9,text/plain;q=0.8,video/x-mng,
image/png,image
/jpeg,image/gif;q=0.2,*/*;q=0.1
Accept-Language:es,en-us;q=0.7,en;q=0.3
Accept-Encoding:gzip,deate
Accept-Charset:ISO-8859-1,utf-8;q=0.7,*;q=0.7
Keep-Alive:300
Peticin HTTP:
HTTP/1.x200OK
Date:Tue, 14Nov200615:02:29GMT
Server:Apache/2.0.54(Fedora)
X-Powered-By:PHP/5.0.4
Set-Cookie:PHPSESSID=
s2mcmtlnk590qavhpir4r5vnu4;
expires=Wed, 15Nov200615:02:29GMT;path=/
Expires:Thu, 19Nov198108:52:00GMT
Cache-Control:no-store, no-cache,
must-revalidate, post-check=0, pre-check=0
Pragma:no-cache
Content-Type:text/html
RespuestaHTTP
Figura 4. Esquema de red del ataque, comportamiento del campo
Timestamp
INTRANET
Peficion HTTP
192.168.0.1
Respuesta HTTP
Ataque CSRF
Cliente ce la
Intranet autorizado
HTTP/1.1 200 OK
Content-Length: 61
...
-
7/14/2019 21_2007_ES
23/84
Ataques CSRF
www.hakin9.org 23
www.ejemplo.es/image.png nos da
la siguiente respuesta HTTP:
HTTP/1.1 200 OK
Content-Length: 61
Lo importante de este ejemplo es el
contenido (HTML). Cuando un na-
vegador interpreta el HTML de una
respuesta, enviar una peticin GET
por cada recurso adicional, tal como
una imagen que necesita para formarla pgina. En este ejemplo despus
de interpretar esta respuesta, una pe-
ticin adicional como la siguiente ser
enviada para conseguir la imagen:
GET /image.png HTTP/1.1
Host: www.ejemplo.es
La caracterstica principal de esta
versin es que es idntica a la pe-
ticin anterior (1. peticin http de el
cliente) excepto por la ruta de el re-curso. Esto es porque las peticiones
para las imgenes no son diferentes
a las peticiones de cualquier otra
URL. Un recurso, es un recurso; no
hay un mtodo para que el navegador
avise a el servidor web que lo que le
va a pedir es una imagen. Veamos
esto con ms detalle en la Figura 3.
Existen varios mtodos para en-
gaar a un usuario y hacerle visitar
un enlace especialmente creado, por
ejemplo mandar al usuario lo que
parece ser una imagen. En el punto
1, el usuario realiza click en el enlace
para visualizar la imagen, pero esta
imagen no es tal, punto 2, sino que
es un enlace creado de manera que
genere una peticin en un servidor
de una tienda online. La vctima
si ha estado navegando por este
sitio sin salir con los mecanismos
adecuados, todava conservara las
credenciales de sesin en su cookie
correspondiente, con lo cual la apli-
cacin autenticar correctamente al
usuario. De esta forma podr llevar acabo la peticin que le hemos dicho
que genere, punto 3, lo que validar
todo el proceso de compra.
Al tratarse de una peticin para
un recurso embebido (una imagen) el
usuario es completamente inconscien-
te de que esta pasando realmente, ya
que la solicitud de estos recursos ocu-
rren sin el conocimiento de el usuario.
Este ejemplo est hecho con una
tienda online, pero de igual manera
sirve para crear ataques ms peli-grosos, como realizar transacciones
en banca online, realizar funciones
administrativas en aplicaciones web
restringidas. Esto quiere decir que
es posible acceder a intranets para
realizar este tipo de ataques. Vamos a
considerar una aplicacin de intranet
localizada en http://192.168.0.1/admin
que permite a usuarios autorizados
borrar empleados. Incluso con meca-
nismos de administracin de sesiones
combinados con el hecho que este
tipo de aplicaciones no es accesible
por el exterior un ataque CSRF puede
tener xito con algo tan simple como:
Una de las caractersticas ms peli-
grosa de el ataque CSRF es que el
usuario legitimo es el que hace la pe-
ticin pero sin tener conocimiento de
ello. Por lo que si intentamos buscar
en los logs de el servidor atacado no
veremos nada extrao, slo las peti-ciones hechas por los usuarios con
acceso legtimo. (Ver Figura 4).
CSRF Ataque con el mtodo
POST
Este tipo de ataque aunque mayori-
tariamente se realiza en aplicaciones
que usan el mtodo GET tambin es
posible realizarlo a travs de el mto-
do POST, a continuacin mostramos
el mismo ataque que el anterior pero
con el mtodo POST (ver Listado 2).
Usar POST en formulariosRealmente no es una proteccin,
muchos usuarios piensan que
usando el mtodo POST en vez de
el GET para enviar los datos de un
formulario seremos inmunes a este
tipo de ataque, pero nada ms lejos
de la realidad.
A lo que si seremos inmunes
ser a este mtodo a travs de la
etiqueta pero hay ms formas
de esconder una peticin, si la apli-
cacin de el servidor es predecible
todava podremos ejecutarlo pero
esta vez con ayuda de algo de ja-
vascript como hemos comprobado
anteriormente.
Usar tokens MD5
Uno de los mejores mtodos y que
los sitios seguros utilizan actualmen-
te es el uso de cadenas MD5 gene-
radas por el servidor y vlidas para
un usuario en una sesin dada, deesta manera nos aseguramos que
el usuario que tiene privilegios es el
que realiza las acciones, l
Listado 2. Mtodo POST
document.forms[0].submit();
En la Red
http://en.wikipedia.org/wiki/Cross-site_request_forgery;
http://www.w3.org/Protocols/rfc2616/rfc2616-sec9.html;
http://www.w3.org/Protocols/rfc2616/rfc2616-sec15.html#sec15.1.3; http://www.w3.org/MarkUp/html-spec/html-spec_8.html#SEC8.2;
HTTP: The denitive Guide. O'Reilly (David Gourley, Brian Totty). 2002.
-
7/14/2019 21_2007_ES
24/84
www.hakin9.org4
Ataque
Se caracterizan por su fcil ejecucin y
su principal rasgo es la dicultad con
la que pueden ser mitigados DoS es
el acrnimo the Denial of Service (Denegacin
de Servicio). Un ataque DoS a un servidor co-
nectado a Internet tiene como objetivo agotar
sus recursos, ya sean de ancho de banda o de
procesamiento, para que sea (prcticamente)
imposible acceder a l. En principio, el realizar
un ataque DoS est a disposicin de cualquie-
ra que disponga de mayor ancho de banda
que el servidor atacado y/o haya descubierto
alguna vulnerabilidad del sistema operativo
que gestiona el servidor (o los routers). Est
claro que la primera opcin no est al alcance
de cualquiera por lo que los ataques DoS sue-
len ser del segundo tipo. Quiz el ataques DoS
por excelencia es y ser el conocido ping de la
muerte, que consiste en enviar un ping con un
paquete de ms de 56k que colapsa el sistema,
este ataque fu usado en los noventa. Otros
tipos bsicos de ataque son: DoS mediante
paquetes ICMP (ping).
Es una tcnica DoS que pretende agotarel ancho de banda de la vctima. Consiste en
enviar de forma continuada un nmero elevado
de paquetes ICMP echo request (ping (1)) de
tamao considerable a la vctima, de forma que
esta ha de responder con paquetes ICMP echo
reply (pong) lo que supone una sobrecarga tan-
to en la red como en el sistema de la vctima.
Dependiendo de la relacin entre capacidad de
procesamiento de la vctima y atacante, el gra-
do de sobrecarga vara, es decir, si un atacante
tiene una capacidad mucho mayor, la vctima
no puede manejar el trco generado.
Qu es el ping?Se trata de una utilidad que comprueba
el estado de la conexin con uno o varios
Los ataques DDoS
Jaime Gutierrez y Mateu Llull
Grado de dicultad
A lo largo del tiempo, los ataques de denegacin de servicio han
sido un medio que junto con otras aplicaciones (recordemos el
caso MyDOOM) han sido un verdadero quebradero de cabeza
para administradores de sistemas y profesionales del sector.
En este artculo aprenders...
Todo sobre los ataques DoS;
Sus distintos tipos de ataques y como intentar
mitigarlos;
Conocer como funciona un programa para
hacer DoS.
Lo que deberas saber...
Nociones bsicas sobre las redes TCP/IP;
Conocimientos de programacin.
-
7/14/2019 21_2007_ES
25/84
Los Ataques DDoS
www.hakin9.org 25
equipos remotos, por medio de
los paquetes de solicitud de eco
y de respuesta de eco (denidos
en el protocolo de red ICMP) para
determinar si un sistema IP espe-
cco es accesible en una red. Es
til para diagnosticar los errores en
redes o enrutadores IP:
C:\>ping 192.168.0.1
Estadsticas de ping para 192.168.0.1:
Paquetes: enviados = 4,
recibidos = 4, perdidos = 0
(0% perdidos),
Lo que vemos en la pantalla es una
respuesta mostrando la cantidad
de bytes que se estn enviando y
el tiempo que se demoran dichos
paquetes.
Al nal del test se muestra un resu-
men con las estadsticas de la prueba.
Ataque LAND
Un ataque LAND se produce al en-
viar un paquete TCP/SYNfalsicado
con la direccin del servidor objetivo
como si fuera la direccin origen y
la direccin destino a la vez. Esto
causa que el servidor se responda
a s mismo continuamente acabe
desbordndose y al nal falle.
Connection FlooD
Todo servicio de Internet orientado a
conexin (la mayora) tiene un lmite
mximo en el nmero de conexionessimultaneas que puede tolerar. Una
vez que se alcanza ese lmite, no se
admitirn conexiones nuevas.
As, por ejemplo, un servidor Web
puede tener capacidad para atender
a mil usuarios simultneos. Si un
atacante establece mil conexiones
y no realiza ninguna peticin sobre
ellas, monopolizar la capacidad
del servidor. Las conexiones van
caducando por inactividad poco a
poco, pero el atacante slo necesita
intentar conexiones nuevas constan-
temente, como ocurre con el caso
del syn ood.
Afortunadamente este ataque
implica que la conexin tiene lugar o,
lo que es lo mismo, que se completa
la negociacin en tres pasos que co-
mentbamos en la seccin anterior.
Debido a ello la mquina atacada
tiene constancia de la identidad realdel atacante. Al menos, si sus ad-
ministradores merecen su sueldo y
saben qu comandos utilizar.
Ataques Smurf
El ataque smurfutiliza una caracte-
rstica de Internet: broadcast. Toda
red tiene lo que se denomina una
direccin de broadcast. Los datagra-
mas enviados a esa direccin son
recibidos por todas las mquinas en
la red local. Ello permite, por ejem-plo, que una mquina localice un
servidor proporcionando un servicio
haciendo una pregunta a la red, no
preguntando mquina por mquina.
El problema de la direccin
broadcast es que suele estar dis-
ponible tambin para usuarios de
fuera de la red local, en particular
para todo Internet. Ello permite, por
ejemplo, que un atacante enve un
pequeo datagrama a toda una red
remota, y que las mquinas de dicha
red respondan todas a la vez, posi-
blemente con un datagrama de ma-
yor tamao. Si la red sondeada tiene
150 mquinas activas, la respuesta
es 150 veces ms intensa. Es decir,
se consigue un efecto multiplicador.
Ataques DNS
y de enrutamiento
La mayora de los protocolos de
enrutamiento como RIP (Routing
Information Protocol) o BGP (Border
Gateway Protocol) carecen de auten-ticacin, o tienen una muy sencilla.
Se trata por tanto de un escenario
perfecto para que cualquier atacante
Listado 1. Haciendo ping a 192.168.0.1 con 32 bytes de datos
Respuestadesde192.168.0.1:bytes=32tiempo
-
7/14/2019 21_2007_ES
26/84
www.hakin9.org
Ataque
6
pueda alterar las rutas correctas y,
falsicando su IP origen, crear una
condicin DoS. Las vctimas de es-
tos ataques vern como su trco se
dirige por ejemplo hacia un agujero
negro: a una red que no existe.
Los ataques DoS sobre servido-
res de nombres de dominios (DNS)
son tan problemticos como los an-
teriores. Estos ataques intentan con-
vencer al servidor DNS, por ejemplo,
para almacenar direcciones falsas:
cuando un servidor DNS realiza una
bsqueda el atacante puede redirec-
cionar a su propio servidor o bien a
un agujeronegro.
Ataques DDOS
Los ataques DDoS son ataques
DoS, pero distribuidos, es decir me-
diante mas host remotos.
Analizando los ataques(DDoS)
Como ya hemos mencionado antes,estos tipos de ataques se basan en
coordinar una serie de host conecta-
dos a Internet de tal forma que con-
centren su ataque simultneamente
y desde diferentes lugares, sobre un
nico objetivo. Los distintos tipos de
ataques DDoS, como por ejemplo,
colapsar un servicio simulando co-
nexiones de miles de usuarios a la
vez, o haciendo que el tiempo de
espera sea elevado, aumentado de
esta forma el tiempo de respuesta,generando as una gran cantidad de
trco que como consecuencia del
gran consumo de ancho de banda
(bandwicht) agota los recursos de
una aplicacin/servidor. Algunas de
las causas que hacen que el DDoS
sea un ataque tan extendido es,por
ejemplo, que el protocolo TCP/IPno
tenga seguridad: ya que se dise
para su empleo en una comunidad
abierta y conada y la versin que
actualmente se usa tiene defectos
inherentes y graves. No puede mo-
dicarse o implementarse otro tipo
de seguridad por el simple motivo
de que Internet dejara de funcionar.
Igualmente muchas implementacio-
nes del TCP/IP en sistemas opera-
tivos e incluso dispositivos fsicos de
red, tienen defectos que debilitan su
capacidad para resistir ataques.
Estructurandoun ataque DDoS
Un usuario ilegitimo, busca con elataques DDoS agotar los