1

CURSO DE ETHICAL HACKING MODULO 1 INTRODUCCIN Y CONCEPTOS El objetivo de este curso, es para que aprendan y saquen sus propias conclusiones, de todo lo relacionado a la seguridad informtica, siempre y cuando utilizando estos mtodos aprendidos para hacer cosas positivas, por ende, no nos hacemos responsables de cualquier actividad delictiva que se realice a travs de la enseanza de este curso; no es ese el objetivo, por lo que el mismo estar basado en la mejor disposicin de ustedes para ejercitarse por medio de mquinas virtuales o entornos seguros. Este modulo tiene por objetivo familiarizarse con

PRINCIPIOS FUNDAMENTALES DE LA SEGURIDAD Los tres pilares fundamentales de la seguridad son la CONFIDENCIALIDAD, INTEGRIDAD y DISPONIBILIDAD. Conocido comnmente como CIA Triad o The Big Three CONFIDENCIALIDAD la Confidencialidad de la Informacin, a menudo es referida como la necesidad de que la misma slo sea conocida por personas autorizadas. Un aspecto de suma importancia a tener en cuenta cuando nos referimos particularmente a este principio, es que el nivel de Confidencialidad debe prevalecer no solo mientras que los datos residen en los sistemas y dispositivos dentro de la red, sino tambin durante su transmisin y almacenamiento en destino. Varias son las amenazas que atentan contra la Confidencialidad: Usuarios pueden intencional o accidentalmente divulgar informacin sensible al no encriptar la misma antes de que esta le sea enviada a otra persona, pueden ser vctima de algn tipo de ataque de ingeniera social en busca de secretos comerciales, informacin en trnsito puede ser interceptada por terceros que se encuentren en condiciones de realizar escuchas, etc. La Confidencialidad, a menudo puede ser provista o reforzada, mediante la implementacin de un estricto control de acceso, por medio de la encripcin de datos (ya sea al momento de almacenar o transmitir los mismos), la puesta en marcha de procesos de Clasificacin de la Informacin, concientizacin y entrenamiento del personal. Cada uno de ellos suelen ser recursos de suma importancia a la hora de combatir efectivamente aspectos tales como la divulgacin no autorizada.

2
INTEGRIDAD La Integridad de la Informacin es la caracterstica que hace posible garantizar su exactitud y confiabilidad, velando por que su contenido permanezca inalterado a menos que sea modificado por personal autorizado, de modo autorizado y mediante procesos autorizados. A su vez, es de suma importancia que esta modificacin sea registrada para posteriores controles o auditorias. Una falla de integridad puede estar dada entre otros, por anomalas en el hardware, software, virus informticos y/o modificaciones inesperadas. Precisamente, a fin de mantener su integridad, el conjunto de hardware, software y mecanismos intervinientes en el tratamiento de la informacin, deben ser capaces de trabajar de manera coordinada, a efectos de procesar, mantener y mover los datos a su destino previsto, sin que los mismos sufran cualquier tipo de alteracin inesperada. Tanto los sistemas como la red, se deben proteger contra cualquier tipo de interferencia exterior que pueda permitir algn tipo de contaminacin. Ambientes en donde existen medidas que refuerzan el principio de Integridad en el tratamiento de la informacin, permiten asegurar que atacantes o cualquier tipo de error cometido por los usuarios, no sern capaces de comprometer la integridad del sistema o los datos. Cuando un atacante distribuye un virus, una bomba lgica o un backdoor dentro del sistema, la integridad de este es comprometida. Este hecho puede afectar negativamente el principio de integridad de la informacin, debido a que la misma puede terminar por corromperse, ser contaminada mediante la introduccin de datos errneos/falsos o modificada con fines malvolos. El control de acceso, los sistemas de deteccin de intrusos, la aplicacin de chequeos de integridad, los procedimientos de control de cambios, la separacin de funciones y la implementacin del principio de Menor Privilegio, son solo algunos de los medios utilizados para prevenir problemas de integrida d. DISPONIBILIDAD

La Disponibilidad u Operatividad de la Informacin es su capacidad de encontrarse siempre disponible, para ser utilizada por las personas autorizadas. A fin de cumplir con este principio, los sistemas y redes deben proveer la capacidad adecuada de procesamiento, actuar de modo previsible y brindar un adecuado nivel de performance. A su vez, ellos deberan ser capaces de recuperarse de interrupciones de manera rpida y segura, a fin de que la productividad no se vea afectada negativamente. Entre las amenazas que afectan el principio de Disponibilidad, se encuentran las fallas relacionadas con el software y hardware, aspectos relacionados con el entorno (calor, fro, humedad, electricidad esttica, etc.), desastres naturales, denegaciones de servicios (DoS, DDoS), etc. A fin de prevenir inconvenientes que puedan afectar la Disponibilidad, deben ser implementados mecanismos de proteccin adecuados, con el fin de reforzar la estrategia de continuidad del negocio definida por la organizacin, previniendo de este modo amenazas internas o externas. En tal sentido deberan implementarse medidas de resguardo y recuperacin, mecanismos redundantes, planes de contingencia, sistemas de prevencin y/o deteccin de intrusos, procedimientos de hardening, etc. A su vez puntos nicos de fallas deberan ser evitados.

3
LO OPUESTO DEL BIG THREE Es por eso, que as cmo es posible identificar tres principios fundamentales de seguridad, tambin lo es identificar sus opuestos referidos como: Revelacin (Disclosure), Modificacin (Alteration) y Destruccin/Interrupcin (Destruction/Disruption). Una vez ms, es importante recordar, que generalmente cuando se evala el dao producido por la concrecin de una amenaza sobre un activo, dicha evaluacin con frecuencia es realizada teniendo en cuenta el impacto causado sobre su confidencialidad, integridad y disponibilidad, a manos de algn tipo de ataque que revela, altera, destruye o interrumpe.

Un hacker tico es el nombre adoptado para la realizacin de pruebas de penetracin o intrusin a redes informticas. Un hacker tico usualmente es un empleado o persona perteneciente a una organizacin, el cual intenta introducirse a una red informtica o un sistema informtico, utilizando mtodos y tcnicas hacker, pero su propsito principal es la bsqueda y resolucin de vulnerabilidades de seguridad que permitieron la intrusin. RESPONSABILIDADES DE UN ETHICAL HACKER usar el conocimiento y herramientas solo para propositos legales solo se debe hackear con el afan de identificar problems de seguridad y actuar en la implementacion de la contramedida crear un plan de testeo con parametros exactos

TIPOS DE HACKERS Black Hats (Espionaje Industrial, ChicosMalos, Crackers Lammers, ScripKiddies. Trolls, flamers) White Hats (Hacker tico) Gray Hats (Esta en el medio Bueno y Malos) Black Hat, es el trmino con el que se llama a aquellos quienes comprometen la seguridad de un sistema, sin el permiso de su propietario, usualmente con la intencin de lograr acceso no autorizado a las computadoras de la red. White Hat, suele ser utilizado para aquellas personas quienes se encuentran ticamente opuestas al abuso de redes y sistemas. Con frecuencia, los White Hat utilizan sus conocimientos con el objeto de proteger los sistemas de informacin, ya sea actuando como oficiales de seguridad, o reportando vulnerabilidades a los vendors. Grey Hat, es el trmino que la comunidad utiliza para referirse a un Hacker que poseyendo el skill suficiente, algunas veces acta legalmente (Tal como un White Hat) y otras no. Estos hackers son un hibrido entre White Hat y Black Hat. Usualmente no hackean con el objetivo de obtener rdito econmico, personal o causar algn tipo de dao, pero podran o no cometer un crimen en el proceso de sus tareas o investigaciones.

5
PENETRATION TESTING Es la revisin comprensiva de las vulnerabilidades, el cmo explotar estas vulnerabilidades y como la red reacciona a estos ataques TIPOS DE PENT TESTING BLACK-BOX GRAY-BOX Aqu se identifica las vulnerabilidades, aqu nosotros desconocemos el objetivo Aqu se realizan actividades con alguna informacin del objetivo un dominio URL, IP Publica

WHITE-BOX Aqu se nos proporciona la mayor informacin, nombre de Servidores, nombres de usuarios, nombre de empleados rango de direcciones IP METODOLOGA FASES DE UN ATAQUE FASES DEL PRE-ATAQUE FOOTPRINTING o o Reconocimiento Pasivo =>Recolectar informacin Sin que este se d cuenta, es decir buscar informacin en las websites, buscadores Reconocimiento Activo =>Explorar la red, Buscando Puertos abiertos, servicios

Generalmente este paso consiste en obtener la siguiente informacin: Informacin de la empresa objetivo: A travs de consultas en buscadores de Internet se puede obtener el perfil de la empresa. En general esta informacin es pblica y no es crtica, pero permite al atacante conocer cules pueden ser las implicancias de su ataque, el pas donde se encuentra la empresa, lo que permitir conocer el mbito legal en que se encuentra . Informacin del dominio objetivo: Conociendo el nombre de la empresa, como hemos visto, se puede obtener su informacin de dominio a travs de consultas tipo WHOIS . Informacin de los servidores: Una vez que el intruso obtuvo el dominio, puede realizar consultas NSLOOKUP para conocer cules son los servidores que tiene la empresa. En general, en este punto, el atacante seleccionar uno o varios servidores que sern objetivo del ataque . Identificacin de la plataforma, servicios y dispositivos: Uno de los principales datos que buscan de sus objetivos es la plataforma sobre la que trabajan (Windows, Linux, Novell, etc.) o las versiones exactas de los servicios que sobre ellas se ejecutan. Esto se puede realizar mediante la utilizacin de tcnicas de fingerprinting.

Cuando se habla de Reconocimiento, sus acciones suelen agruparse segn su tipo en dos categoras: Reconocimiento Pasivo el cual involucra la adquisicin de informacin sin interactuar directamente con el objetivo (Ejemplo: Bsqueda de informacin en sitios pblicos) y Reconocimiento Activo, el cual se encuentra relacionado con la interaccin directa con el objetivo, cualquiera sea el modo (Ejemplo: Ingeniera Social). Contramedidas Como primer contramedida, es necesario restringir la informacin que se difundir, especialmente a travs de los servicios de DNS y WHOIS. Del mismo modo, es de suma importancia limitar en general, la informacin pblica en Internet, respecto de las tecnologas utilizadas dentro de la organizacin. Tambin se puede incluir el filtrado de paquetes y la modificacin del comportamiento de determinados dispositivos o aplicativos (webservers, mail servers, routers, etc.), de modo tal de dificultar la identificacin exacta de los mismos, por parte del eventual atacante

SCANNING Aqu se define el objetivo a ser atacado y los diferentes puntos que deben ser controlad Cuando hablamos de la fase de Escaneo, generalmente nos referimos a una etapa previa al ataque, en la cual el atacante hecha mano a una serie de herramientas genricamente referidas como escaner's y escanea la red o sistema objetivo con el fin de obtener informacin especfica, sobre la base obtenida en el paso previo de Reconocimiento. Como parte de las tareas a desarrollar durante esta etapa, el atacante intentara identificar diversos puntos de entrada al sistema objetivo, recorriendo en forma lgica su superficie. Las herramientas utilizadas para la tarea, sern entre otras:

Dialers: Herramientas automticas de discado telefnico, utilizadas para escanear nmeros telefnicos correspondientes a un rea o compaa determinada por medio de la utilizacin de un MODEM (Practica a menudo referida como wardialing). Su principal objetivo, es el de hallar dentro del rango especificado, maquinas de fax, computadoras, o sistemas de comunicaciones, sobre los cuales sea posible a partir de un ataque posterior, conseguir algn tipo de acceso. (Eh: Toneloc, Tmap) Network Mapping Tools: Herramientas automticas relacionadas con el descubrimiento de host y/o sistemas. Como resultado de la ejecucin de este tipo de herramientas, el atacante a menudo es capaz de construir un mapa de la red objetivo. Este tipo de herramientas renen las caractersticas necesarias como para consultar que hosts se encuentran disponibles, que servicios en ellos se ejecutan y mucha informacin adicional, de suma importancia para el atacante. (Ej.: Cheops-NG) Port scanners: Un port scanner o escaner de puertos, es una herramienta diseada especficamente para indagar un host, acerca de sus puertos abiertos. Como tal, esta herramienta suele ser de suma utilidad para el atacante, a la hora de identificar los puertos abiertos del host objetivo, as como tambin los servicios que en l se encuentran corriendo. (Ej.: Nmap) Vulnerability Scanners: Los scanners de vulnerabilidades, son herramientas diseadas para buscar e identificar vulnerabilidades y/o debilidades en una aplicacin, host o red. Estos se componen bsicamente de un conjunto de herramientas de descubrimiento, y escaneo, ms una base de datos de vulnerabilidades conocidas, contra las cuales se intenta hacer corresponder cada uno de los hallazgos. (Ej.: Nessus) Al trmino de esta fase, el atacante debera haber sido capaz de obtener el conjunto de informacin necesaria, a efectos de decidir el o los puntos especficos que intentar vulnerar. Dicha informacin incluye pero no se limita a: Sistemas Telefnicos a la espera de comunicaciones entrantes, puertos de servicios abiertos-cerrados-filtrados, posibles vulnerabilidades relacionadas con los servicios ofrecidos por el sistema, red o host objetivo. Contramedidas Entre las contramedidas bsicas relacionadas con la mitigacin del riesgo en esta fase, se puede mencionar el filtrado de puertos, la eliminacin en el sistema de los servicios innecesarios, la implementacin de sistemas de deteccin y prevencin de intrusos, etc.

ENUMERATION Conseguir informacin sobre usuarios, Rangos de IP, SO del Objetivo GANAR EL ACCESO AL SISTEMA Se inicia con la aplicacin de tcnicas de crackeo de Password, ingresar a reas del sistema. Se puede realizar de manera Online como Hydra donde se usa diccionarios, Tambin puede ser de manera Offline como Jhon de Ripper, Can y Abel donde conseguimos el archivo SAM de Windows de manera interna, Aqu rompemos los esquemas de validacin La fase de obtencin de acceso, a menudo referida como fase de penetracin, es aquella donde el ataque se materializa o dicho de otro modo el atacante explota una vulnerabilidad en el sistema. Este es quizs el paso ms crtico del proceso. En esta situacin el atacante intentar acceder al objetivo, por lo cual intentar poner en marcha el plan de ejecucin que ha sido capaz de establecer a partir de la informacin y el conocimiento del objetivo que ha obtenido como resultado de fases anteriores. A fin de obtener el acceso al sistema objetivo, los atacantes a menudo utilizan diferentes tcnicas, entre las que se encuentran: Explotacin de vulnerabilidades: si existe algn producto instalado que permita la ejecucin de cdigo arbitrario, sta es una puerta abierta al acceso de intrusos, la cual a menudo es aprovechada por la utilizacin de cdigo exploit. Debilidad de contraseas: Una contrasea dbil puede permitir el ingreso de intrusos. Servicios mal configurados: Un servicio que no est adecuadamente configurado puede permitir que intrusos hagan uso abusivo del mismo, o incluso, que ejecuten cdigo arbitrario. Decepcin o engao: Ataque contra las personas.

Un ataque puede comenzar con la ejecucin de un exploit remoto a partir del cual se logre la obtencin de un conjunto de credenciales no privilegiadas (Guest, nobody), para luego pasar a explotar alguna vulnerabilidad local por medio de la cual logre obtener mximos privilegios (Administrator, System, Root). Entre los factores que suelen influir en la concrecin de un ataque se encuentran: la arquitectura y configuracin del sistema objetivo, el skill del atacante y el nivel inicial de acceso con el que el mismo cuenta. Contramedidas Entre las contramedidas ms importantes a fin de evitar un ataque o minimizar su impacto se encuentra: Actualizacin constante del software instalado Definicin de polticas de contraseas Ejecucin peridica de anlisis de vulnerabilidades y auditoria de cdigo Ejecucin de procedimientos de hardening Filtrado de paquetes Implementacin de HIDSs+, NIDSs e IPSs Procedimientos de revisin peridica de logs

8
MATENIENDO EL ACCESO La fase identificada genricamente como Mantenimiento de Acceso, se refiere al paso en el cual el atacante intentar afianzar su posicin respecto de la apropiacin y/o retencin del sistema atacado. Llegado este punto, el atacante ha logrado su objetivo de acceso al comprometer la seguridad del sistema al cual ha accedido, e intentar fijar la posicin instalando backdoors, RootKits y/o troyanos, a partir de los cuales sea capaz de interactuar con el sistema atacado (Upload, Download, manipulacin de datos, etc.), asegurar su acceso reiterado y extender la influencia a sistemas circundantes o en relacin de confianza con el sistema inicialmente comprometido. PONER BACKDOORS Los tipos de Ethical Hacking que se pueden desarrollar aplicando tcnicas de penetracin pueden ser RED REMOTA, RED LOCAL, MARCACION A RED REMOTA con phreacking Otra forma es realizar un anlisis de acceso fsico a la compaa para evitar que se roben hardware Usar tcnicas de Ingeniera Social para acceder a la empresa Es importante tener presente que con frecuencia, el objetivo final de un ataque puede no ser el primer sistema atacado, sino que por el contrario, este puede ser el primero de una serie de saltos intermedios, necesarios para atacar con xito el objetivo final, sin ser rastreados. Esta situacin puede generar que nuestro sistema termine siendo vctima, y a la vez se convierta en atacante. Si no son tomadas las medidas necesarias, podramos eventualmente vernos envueltos en un ataque, con las implicancias legales que ello significa. Un ejemplo claro respecto de lo mencionado, son los ataques de Denegacin de Servicio Distribuida, que se desarrollarn ms adelante. Contramedidas Nuevamente, las contramedidas son el filtrado de paquetes, los sistemas HIDSs, NIDSs, IPSs, y el control peridico de los archivos de log. ESCALAR PRIVILEGIOS A NIVEL DE USUARIOS Ya deberamos tener un usuario valido y tener permisos mnimos y si tenemos permisos mnimos debemos comenzar a escalar privilegios para volvernos administradores del sistema, para realizar actividades como inyecciones de cdigo, malware, etc CUBRIR HUELLAS Cambiando o desactivando logs del sistema, eliminar rastros de programas utilizados en el ataque, cambiar tamao de archivos, es decir limpiar pistas para que no seamos capturados Una vez que un atacante ha logrado ingresar a un sistema generalmente realiza actividades para evitar ser detectado. Bajo el trmino Borrado u Ocultamiento de Huellas o Covering tracks, solemos referirnos a la fase en la cual el atacante lleva a cabo una serie de pasos, con el fin de ocultar cada una de las acciones llevadas a cabo tanto al momento de ganar acceso al sistema objetivo, as como tambin respecto de su permanencia. Para evitar ser detectado, en general un atacante busca los archivos de auditoria o log del sistema, para borrarlos o modificarlos ocultando su acceso y sus actividades. Cuando el intruso instala en el sistema atacado, herramientas destinadas a operar de algn modo o a asegurar su entrada en accesos posteriores, corre el riesgo que las mismas sean detectadas por un administrador y se conviertan en prueba suficiente a la hora de demostrar que un ingreso no autorizado ha sido llevado a cabo. A fin

9
de evitar tal situacin, el atacante suele dejar sus herramientas en directorios ocultos o de difcil acceso. En Windows NT/2000 esto se puede realizar ocultando los directorios (muy sencillo de detectar), o mediante las facilidades provistas por NTFS, se puede concatenar un archivo detrs de otro mediante la herramienta cp.exe del NT Resource Kit, y quedar oculto a los ojos de los administradores. Esta herramienta no modifica el archivo original, con lo que no se detectarn cambios. En Linux, se pueden utilizar directorios dentro de /dev/, donde existen links hacia los diferentes dispositivos. Este directorio muchas veces no es tenido en cuenta por los administradores, por lo que puede convertirse en un buen lugar para ocultar herramientas. Al margen de estas tcnicas, un atacante podra ser capaz de utilizar tcnicas mucho ms avanzadas a la hora de ocultar su acceso, tal como la programacin de componentes a nivel del kernel del sistema operativo. Contramedidas Una vez que el atacante ha logrado vulnerar la seguridad de nuestro sistema y ha sido capaz de acceder el host objetivo, lo mejor es considerar la posibilidad de instalar nuevamente el sistema a partir de las copias de oro del software de base, los aplicativos que sobre l se encuentran corriendo y los datos almacenados como parte de nuestra poltica de resguardo. No obstante se debe notar que la implementacin de sistemas centralizados de logging, procesos adecuados de hardening y sistemas de integridad de archivos, deberan ser considerados siempre que sea posible a fin de detectar un ataque, minimizar el impacto del mismo o al menos colaborar a su eventual investigacin.

10
EFECTOS DE UN ATAQUE Tal como tendremos oportunidad de ver ms adelante en esta misma unidad, varios son los ataques en capacidad de afectar o daar de algn modo nuestros sistemas. Cuando en los siguientes indicadores nos refiramos en lneas generales a los efectos de un ataque, no debemos perder de vista el modo en el que los principios fundamentales de la seguridad de la informacin: Confidencialidad, Integridad y Disponibilidad pueden verse afectados. La forma en la que un ataque puede afectar efectivamente un sistema de informacin, puede variar en funcin de diversos factores, no obstante por lo general es posible situar cada uno de ellos en alguna de las categoras que estudiaremos a continuacin: Interceptacin Modificacin Interrupcin Falsificacin INTERCEPCION Al inicio de la unidad, definimos como Ataque de Acceso, a aquellos en donde un atacante busca acceder a sus recursos. La Interceptacin a menudo suele ser el ejemplo ms concreto de un Ataque de Acceso. La interceptacin atenta contra la privacidad o confidencialidad de la informacin, y a menudo suele producirse cuando un usuario NO autorizado, obtiene acceso a informacin para la cual no posee acceso formal. El objetivo ltimo de un ataque de interceptacin, es el de ganar acceso a informacin para la cual el atacante no se encuentra autorizado. Los ataques de Interceptacin, pueden ser activos o pasivos. En un entorno de red, la interceptacin pasiva podra por ejemplo encontrarse relacionada con una persona quien rutinariamente monitorea el trfico de red. Por su parte el situar por ejemplo, un sistema de cmputo entre el emisor y el receptor de algn tipo de mensaje o informacin, podra considerarse interceptacin activa. Debido a su naturaleza, los ataques de intercepcin pueden resultar complejos de detectar, especialmente si los mismos son de origen pasivo. Los ataques de interceptacin, se encuentran por ejemplo, dentro de la prctica habitual de las agencias de gobierno o el mbito militar, como parte de una misin de inteligencia en la cual deben ser monitoreadas las conversaciones del enemigo. A lo largo de los siguientes indicadores, se revisaran los diferentes aspectos de alguno de los ataques de intercepcin ms comunes tales como: Sniffing Eavesdropping.

11
MODIFICACION En un ataque por modificacin, un usuario malicioso generalmente obtiene acceso no autorizado a un sistema o recurso, con el nivel de privilegios necesarios para alterar de algn modo los datos o informacin que en l se encuentran para su beneficio. Modificar el flujo de datos en una comunicacin o editar el contenido de un archivo en un servidor, representan ejemplos claros de este tipo de ataques. El objetivo ltimo de todo ataque de modificacin es realizar cambios sobre el entorno. De acuerdo a su definicin, los ataques de modificacin envuelven la eliminacin, insercin o alteracin de informacin, de modo tal que la misma se vea como genuina para el usuario. En estos casos, si bien en principio la deteccin podra ser considerada ms sencilla que en la interceptacin, debido a que existe informacin que se modifica o altera de algn modo; la deteccin de dichas alteraciones requiere un estudio exhaustivo por parte de un analista de seguridad, debido a que llevadas a cabo por un atacante cauteloso, las mismas podran verse como modificaciones lcitas. En lneas generales, la motivacin de los atacantes respecto de este tipo de ataques, suele encontrase relacionada con el plantar informacin, cambio de notas en una clase, alteracin fraudulenta de registros de tarjetas de crdito, etc. Un tipo de ataque de modificacin, extremadamente habitual hoy da, son los defacements o desfiguracin de sitios web. En las siguientes secciones se analizarn, entre otros, los siguientes ataques de modificacin y sus contramedidas Man-in-the-middle Manipulacin de datos (Tampering)

INTERRUPCION La interrupcin consiste en afectar, daar o dejar sin funcionamiento un sistema completo o parte de ste. Para un atacante, puede ser un desafo, una venganza o la forma de facilitarle el acceso a algn otro recurso. Un aspecto caracterstico de los ataques de Interrupcin, es que a menudo los mismos suelen ser de sencilla deteccin, debido principalmente a que por lo general su existencia es rpidamente notada por los usuarios lcitos. Los daos ocasionados por la eventual suspensin del servicio y el tiempo de recuperacin relacionado con este tipo de ataques, a menudo pueden llegar a ser muy importantes. Por tal motivo, deben ser tomados la mayor cantidad de recaudos posibles para evitar sufrir un ataque de este tipo. En las siguientes secciones se analizarn, entre otros, los siguientes ataques de interrupcin y sus contramedidas: Denegacin de servicio Denegacin de servicio distribuida

12
FALSIFICACION En lneas generales, los ataques de Falsificacin, presuponen precisamente, que alguno de los componentes de un sistema ha sido falsificado. La falsificacin, puede aplicarse tanto a escenarios donde se hayan construido determinados paquetes de datos arbitrariamente, con el objeto de hacer creer a un sistema o dispositivo de la veracidad de los mismos, a fin de que este ejecute alguna accin que pueda ser aprovechada por el atacante, o simplemente a escenarios donde una persona participe de una conversacin simulando ser otro interlocutor. Un ejemplo muy comn es un usuario malicioso, quien altera su identidad simulando ser un host determinado con el fin de obtener algn beneficio propio. Existen diferentes tcnicas de detectar los intentos de falsificacin y se revisarn posteriormente. En las siguientes secciones se analizarn, entre otros, los siguientes ataques de falsificacin y sus contramedidas: Spoofing

ATAQUES ACTIVOS En lneas generales, los Ataques Activos suelen ser definidos como aquellos en los cuales el atacante intenta causar dao o afectar de algn modo determinado, a una red o sistema mediante algn tipo de participacin activa. En este tipo de ataques, el atacante no se limita tan solo a escuchar sobre el alambre, sino que por el contrario intentara irrumpir o apagar un servicio. Los ataques conocidos como activos, tienden por lo general a ser muy evidentes o visibles, debido a que el dao que causan a menudo es notorio. Entre los ataques activos ms conocidos se cuentan: DoS (Denial of Service) / DDoS (Distributed Denial of Service) Buffer Overflows SYN Attacks IP spoofing A continuacin revisaremos algunos de los principales aspectos relacionados con cada uno de estos ataques y sus contramedidas.

ATAQUE DoS Los ataques de DoS (Denial of Service - Denegacin de Servicio) apuntan exclusivamente a afectar en forma negativa, el funcionamiento de un servicio ofrecido por algn sistema o dispositivo de red, ya sea disminuyendo su capacidad operativa o anulndolo de modo permanentemente. Este tipo de ataques, presentan habitualmente la caracterstica de no involucrar un acceso no autorizado al sistema, sino que en cambio buscan provocar la degradacin del servicio que el mismo se encuentra preparado para prestar. Estos ataques generalmente son apuntados hacia un servidor o grupo de servidores especfico, pero tambin pueden ser ejecutados contra aplicaciones web, routers, switches, hosts especficos, o contra la infraestructura de toda una red.

13
Las motivaciones que llevan a que un atacante realice una DoS, pueden entre otras, encontrarse relacionadas con la venganza, la envidia, la intencin de desacreditar una compaa u organizacin, afectar sus negocios, o simplemente aburrimiento o bsqueda de desafos. A pesar que los ataques de Denegacin de Servicio, por lo general no presuponen en forma directa un riesgo de prdida de informacin o divulgacin de informacin confidencial, pueden actuar como una herramienta efectiva a la hora de ocultar otras actividades intrusivas que podran estar siendo realizadas simultneamente. En tal sentido, podra eventualmente existir la posibilidad que mientras se realiza el ataque de DoS contra un objetivo, se est produciendo el verdadero intento de intrusin hacia otro objetivo. Es comn que cuando se realiza una Denegacin de Servicio, se tome conocimiento en forma inmediata (una vez que la denegacin es exitosa) y los administradores deban abocarse a la reparacin del incidente. Lamentablemente, es habitual que en empresas carentes de procedimientos adecuados frente a tales circunstancias, el caos generado por este tipo de issues, provoque una relajacin de las medidas de seguridad hasta que los ingenieros logren poner en funcionamiento nuevamente el servicio afectado por el ataque de DoS, situacin que sin dudas puede ser aprovechada por los atacantes para perpetrar el ataque contra el objetivo real. El medir las implicancias de un ataque de denegacin de servicio, puede ser complicado, aunque por lo general suelen ser como mnimo vergonzantes y eventualmente capaces de afectar un comercio hasta cerrarlo. Las empresas que comercian a travs de Internet (Amazon, eBay, etc.) suelen situarse entre las ms vulnerables a este tipo de ataques. Si un sitio de ventas on-line se encuentra inaccesible, seguro habr un sitio alternativo a un par de clicks de distancia, deseoso de convertirse en el nuevo destinatario del dinero de un cliente. Tcnicas Es importante conocer, que en lneas generales los ataques de DoS pueden generarse de diferentes maneras. Entre las ms comunes se encuentran: Por explotacin de errores de aplicaciones: Se envan paquetes malformados que generan una cada de la aplicacin . Por mensajes de control: Se envan paquetes con mensajes de control para que los dispositivos interrumpan la operacin de la red . Por inundacin (flooding): Consumen los recursos con una gran cantidad de paquetes . Un ejemplo de este tipo de ataques es el SYN Flood. Este ataque consiste en enviar masivamente peticiones de conexiones TCP (con el cdigo SYN activado) . Para cada peticin de conexin, el receptor debe reservar una porcin de memoria. Si se realiza una cantidad suficiente de peticiones de conexin, el receptor consumir toda su memoria y no podr responder a nuevas peticiones. Algunos de los ataques ms conocidos son: Ping de la muerte: La utilidad ping sirve principalmente para saber si un host est activo y adems podemos determinar el delay existente hasta ese host. En este ataque, bsicamente se le enva un paquete ICMP de ping a un host esperando su respuesta. La diferencia est en que si se le enva un paquete muy grande, ste puede llegar desordenado por lo que el host pide al origen que le vuelva a enviar una parte o la totalidad del paquete, produciendo as un datagrama ICMP muy grande que ocasionar su cada. Syn flood: El Syn Flood es uno de los ms famosos de los ataques tipo Denial of Service (DoS). Se basa en un "saludo" incompleto entre el host atacante y el objetivo del ataque. El Cliente enva un paquete SYN pero no responde al paquete ACK del 2 paso del saludo de tres vas TCP, ocasionando que el servidor permanezca a la escucha un determinado tiempo, reservando recursos para la nueva conexin, hasta

14
cancelar la llamada. Si se envan muchos saludos incompletos, se consigue que el servidor se paralice o por lo menos se ralentice. Land attack: Este ataque consiste en un error en la implementacin de la pila TCP/IP en sistemas Windows. Aqu el atacante enva a algn puerto abierto de un servidor (generalmente al 113 o al 139) un paquete, maliciosamente construido con la IP y puerto origen igual que la IP y puerto destino. Al final la mquina termina por colapsarse. Teardrop: Los ataques Teardrop I y Teardrop II afectan a fragmentos de paquetes. En este caso, un atacante puede enviarles paquetes manipulados a sistemas Windows con el fin de adulterar los nmeros de fragmentos de los paquetes. Algunas implementaciones de colas IP no vuelven a recomponer correctamente los fragmentos ya que se superponen, haciendo que el sistema se cuelgue. El Windows NT 4.0 es especialmente vulnerable a este ataque. Aunque existen parches que pueden aplicarse para solucionar el problema.

Contramedidas Debido a que en general estos ataques no realizan a priori, ninguna accin declarada como prohibida, o denegada, son ataques difciles de detectar hasta el momento mismo en que estos comienzan su actividad destructiva, al menos que la organizacin cuente con algn tipo de sistema IDS/IPS efectivo. Para defendernos de los ataques de DoS por explotacin de vulnerabilidades, como lo hemos visto anteriormente, es imperioso mantener los sistemas libres de vulnerabilidades mediante las ltimas actualizaciones. Para defendernos de los ataques de DoS por mensajes de control, necesitaremos crear los filtros de paquetes apropiados. Por ltimo y tal como mencionramos en prrafos anteriores, para defendernos de los ataques de DoS por inundacin, existen dispositivos llamados IDS (Intrusion Detection Systems) los cuales suelen ser de gran ayuda, al momento de detectar un ataque de este tipo en proceso. Bsicamente, estos dispositivos analizan el flujo de datos, buscando patrones de ataques. Al margen de lo hasta aqu mencionado, por lo general suele ser importante el implementar un conjunto de medidas generales entre las que se cuentan el restringir la cantidad de conexiones simultneas que atender un servidor y la habilitacin de las features de seguridad correspondientes en los dispositivos de networking. ATAQUE DDoS Un tipo de ataque de DoS ms reciente es la Denegacin de Servicio Distribuida (DDoS), una variacin de los ataques simples de DoS que utiliza mltiples computadoras para atacar a una sola entidad. Bsicamente el DDoS es un ataque similar al DoS, donde se intenta consumir todos los recursos de una vctima hasta agotar su capacidad de procesamiento o llegar a un desborde. A diferencia del DoS en este caso no enfrentamos a mltiples atacantes y desde cada uno de estos se intenta inundar a la vctima, ocasionando as una avalancha mucho mayor de paquetes sobre el destino del ataque. En los ataques por DDoS, el atacante se suele aprovechar de los hosts de usuarios hogareos que estn conectados en forma permanente (como los que utiliza conexiones DSL o por cable). Este tipo de hosts, generalmente, no estn lo suficientemente protegidos, entonces un usuario malicioso podra cargar en docenas o miles de estos hosts un software de ataque. El programa de ataque permanece latente en las computadoras hasta que reciben una seal del usuario malicioso (no necesariamente el mismo que haya instalado el software de ataque en los hosts). Esta seal, le indica a todos

15
los hosts (comnmente llamados zombis) en forma simultnea que deben comenzar el ataque hacia un destino determinado. Al momento de comenzar el ataque no se le realiza ningn aviso previo al usuario y cuando se completa el ataque, el programa instalado generalmente se elimina del sistema o infecta al usuario con algn virus que destruya la evidencia y elimine su rastro. A diferencia de los ataques por DoS, los ataques por DDoS suelen en su mayora, utilizar tcnicas de inundacin. Un aspecto importante en relacin a este tipo de ataques, radica en el hecho de que si el atacante tiene un ancho de banda para el acceso a la red, menor al de la vctima, resultara muy complicado poder "inundarlo" hasta saturarlo. Con el ataque distribuido en un gran nmero de hosts, el atacante logra generar el trfico suficiente para ahogar victimas a las que de otro modo no podra atacar, contando tan solo con su propia potencia de cmputo o ancho de banda. Un ejemplo de este tipo de ataques es el SYN Flood (ya visto en el ataque por DoS). Este ataque consiste en enviar masivamente peticiones de conexiones TCP (con el cdigo SYN activado) . Para cada peticin de conexin, el receptor debe reservar una porcin de memoria. Si se realiza una cantidad suficiente de peticiones de conexin, el receptor consumir toda su memoria y no podr responder a nuevas peticiones. Un ataque muy comn de DDoS es el ataque smurf. Este sistema de ataque se basa en transmitir a la red una trama ICMP correspondiente a una peticin de ping. Esta trama lleva como direccin de origen la direccin IP de la vctima, y como direccin de destino la direccin broadcast de la red atacada. De esta forma se consigue que por cada trama que se transmite a la red, contesten a la vctima todos aquellos sistemas que tienen habilitado el poder contestar a paquetes destinados a la direccin broadcast de la red. Otro ataque por DDoS muy conocido es el TFN (Tribe Flood Network). En este ataque, un usuario malicioso obtiene acceso privilegiado a mltiples hosts e instala un software que realice Syn Flood (visto anteriormente) sobre un destino en particular al momento de recibir la orden del atacante. As, el atacante enva la instruccin a los hosts zombies y stos realizan un SYN Flood sobre la vctima, ocasionando que quede fuera de servicio. Contramedidas Evitar un ataque de inundacin no resulta muy sencillo. Algunos servicios en los sistemas operativos permiten definir el nmero mximo de conexiones, o la capacidad mxima que puede consumir en el host, pero no todos lo hacen. La mayora de los sistemas son susceptibles entonces a sufrir este tipo de ataques. Adems, continuamente son descubiertos nuevos bugs (fallas de seguridad) en los servicios o el mismo sistema operativo. Afortunadamente, la mayora de los desarrolladores han implementado tcnicas de actualizacin peridicas con el fin de minimizar los efectos de estos ataques. Un analista de seguridad debe mantener actualizados todos sus sistemas con las ltimas mejoras de seguridad para cada sistema. En las figuras - y se pueden ver los sitios web para las descargas de las ltimas actualizaciones de Microsoft, RedHat Linux y Cisco. Otro punto a tener en cuenta para no sufrir ataques de inundacin, es configurar los routers de borde para que ajusten la velocidad de arribo de determinados tipos de paquetes (por ejemplos, limitar la velocidad de ICMP y TCP Syn) .

16
ATAQUE BUFFER OVERFLOW Ms all de sus buenas intenciones, al igual que el resto de los seres humanos, los desarrolladores de software pueden cometer errores. En muchos casos, estos errores pueden terminar en debilidades o vulnerabilidades, que aprovechadas por un atacante podran terminar por comprometer un sistema por completo. Este tipo de ataque puede ocasionar negaciones de servicio o habilitar que determinado cdigo no autorizado se ejecute en modo privilegiado. Al nivel ms bsico, Un Buffer Overflow, se produce cuando un programa, producto de su codificacin, es poco estricto en la gestin de su espacio de memoria o no comprueba adecuadamente la longitud de las entradas recibidas como parte de su operacin. Si una aplicacin no verifica la cantidad de informacin que est siendo ingresada, o lo hace incorrectamente, el atacante podra ingresar ms datos de los esperados, de modo tal que estos terminen sobrescribiendo otros segmentos de memoria. Un buffer no es otra cosa que un rea temporal de memoria, utilizada por un programa para almacenar datos o instrucciones. A fin de crear un ataque de buffer overflow, el atacante simplemente debe escribir ms datos de los que caben en el rea de memoria asignada por el programa para una operacin determinada, de modo tal de sobrescribir lo que all se encuentre. Estos datos extra pueden ser tan solo caracteres sin sentido que podran hacer que el programa falle, o eventualmente instrucciones que dispuestas del modo indicado, podran desviar el flujo del programa a un punto en el cual el atacante sea capaz de, al controlar el mismo, ejecutar cualquier accin sobre el equipo atacado. Un aspecto importante, radica en el hecho que an hoy en da, donde los lenguajes de desarrollo ms modernos (Java, C#, etc.) incluyen caractersticas que imposibilitaran a priori y en condiciones normales, la existencia de condiciones de desbordamiento de buffer, este tipo de bugs an suelen ser encontrados con frecuencia. Adicionalmente, podemos mencionar que errores de BoF (Buffer Overflow), histricamente representan el tipo de bug ms popular de todos los tiempos, relacionado con la codificacin de software. Contramedidas La principal contramedida contra Buffer Overflows, se encuentra relacionada con la prevencin. Aspectos tales como la utilizacin de prcticas de programacin segura, el reemplazo de funciones inseguras tales como por ejemplo strcpy y strcat por strncpy y strncat respectivamente, la utilizacin de flags especiales en algunos de los compiladores mas comunes respecto de la prevencin de aspectos de corrupcin de memoria, el correcto chequeo respecto del largo del input dispuesto por el usuario en las aplicaciones y la adopcin cuando sea posible de lenguajes tales como Java, C# etc., deberan contribuir notablemente a la reduccin de este tipo de issues

17
ATAQUE SPOOFING En el mbito de Seguridad de la Informacin, suele utilizarse el trmino Spoofing para definir en forma genrica todo aquel tipo de ataques en el cual son utilizadas tcnicas de suplantacin de identidad. El spoofing a menudo suele ser considerado un ataque de acceso. Desde el punto de vista del atacante, el spoofing suele ser utilizado bsicamente para proveer informacin falsa acerca de su identidad, con el fin de ganar acceso no autorizado a un sistema, o tan solo para pretender ser algo que no es. Un punto importante radica en el hecho de que en lneas generales y ms all de cual fuera su implementacin tcnica, para que un ataque de spoofing sea exitoso, suele ser necesario engaar a una de las partes intervinientes (algo o alguien), de modo tal que esta crea que su interlocutor (aquel cuya identidad se intenta suplantar) es de hecho legitimo. Uno de los ataques de spoofing o suplantacin ms conocidos, sin dudas sea aquel relacionado con falsos programas de logon. En este escenario, un atacante desarrolla un programa de logon (fake logon) que se ve exactamente igual que el original y lo ejecuta en el equipo de la vctima. Esta en algn momento ingresara en este programa falso el cual simula ser real, su usuario y contrasea y una vez hecho esto probablemente reciba un mensaje de contrasea incorrecta. El usuario volver a intentar su acceso una vez ms, pero esta ultima sobre el programa real. Como resultado de esta accin, el usuario finalmente habr ingresado sin mayores complicaciones a su red, mientras que el atacante probablemente haya registrado en algn archivo oculto, la informacin de usuario y contrasea que ingresada por el usuario en el programa suplantado, ahora servir al atacante para suplantar la identidad del usuario lcito, esta vez por ejemplo, contra la red corporativa. Entre las implementaciones tcnicas de spoofing mas comunes se encuentran: IP SPOOFING: Suplantacin de IP. Consiste bsicamente en sustituir la direccin IP origen de un paquete TCP/IP por otra direccin IP a la cual se desea suplantar. ARP SPOOFING: Suplantacin por falsificacin de tabla ARP. Se encuentra relacionado con la construccin de tramas de solicitud y respuesta ARP modificadas, a fin de falsear la tabla ARP de una vctima y forzarla a que enve los paquetes a un host atacante en lugar de hacerlo a su destino legtimo. DNS SPOOFING: Suplantacin por nombre de dominio. Se trata de falsear la relacin "Nombre de dominio-IP" ante una consulta de resolucin de nombre, o dicho de otro modo resolver con una direccin IP falsa un nombre DNS determinado o a la inversa. MAIL SPOOFING: Suplantacin de la direccin e-mail de otras personas o entidades. Dicha tcnica suele ser utilizada con frecuencia en el envo de hoax y spam, como as tambin como suplemento perfecto para el uso de phising. Contramedidas A nivel general, una de las principales contramedidas relacionadas con la suplantacin, radica en la utilizacin de algn mtodo confiable a la hora de autenticar los extremos de una comunicacin, asegurando que cada uno de los extremos de dicha comunicacin es quien dice ser. Ejemplos de tales tecnologas podra ser algn tipo de esquema de autenticacin, el cual haga uso de una entidad certificante.

18
ATAQUE MITM Un ataque man-in-the-middle requiere que el atacante tenga acceso a los paquetes que atraviesan la red, se interponga en una "conversacin" y acte como intermediario entre el emisor y el receptor de los paquetes. Un ejemplo podra ser algn usuario malicioso que hubiera realizado un ataque de DHCP starvation (visto anteriormente) y configure a los hosts de la red indicando su propia direccin IP como puerta de enlace. Con cada host que tome est configuracin, el atacante recibir todos los paquetes destinados a otras redes, el atacante podr reenviarlo posteriormente modificando la informacin que contiene o simplemente obteniendo la informacin de los datos que enva . En la figura se puede ver otro ejemplo. Para un ISP (Internet Service Provider) el entorno es muy favorable para la implementacin de este ataque, ya que generalmente concentra el trfico de muchos accesos remotos en un slo enlace. Con estos ataques, se puede robar informacin, robar una sesin para obtener acceso a recursos, realizar un anlisis de trfico para obtener informacin sobre redes y usuarios, denegacin de servicios (DoS) o corrupcin de los datos transmitidos. Contramedidas Para evitar los ataques de man-in-the-middle resulta fundamental poder asegurar que los extremos de una comunicacin son quienes dicen ser. Esto se puede lograr utilizando autenticacin mediante una entidad certificante.

ATAQUE REPLAY En un ataque de repeticin de sesin, un atacante registra (monitorea y captura) todo los paquetes y comandos que un usuario utilice en una sesin entre un cliente y un servidor. As, la sesin puede ser "repetida" por el atacante utilizando la misma informacin que pudo obtener anteriormente . Contramedidas Para evitar la repeticin de sesin se debe utilizar algn protocolo que no permita la interpretacin de paquetes duplicados. Tambin se puede utilizar una entidad certificante que asegure la identidad de los extremos con el fin de rechazar cualquier intento de conexin por un host que no es quien dice ser.

ATAQUE TCP/HIJACKING Un ataque del tipo TCP Hijacking, Session Hijacking o active sniffing como suele conocerse, suele ser un problema a menudo relacionado con aplicaciones basadas en TCP/IP tal como una sesin Telnet o una aplicacin de comercio electrnico basada en la web. A fin de llevar adelante el Hijack (secuestro) de una conexin TCP/IP, el atacante debe primero ser capaz de interceptar los datos de un usuario legtimo, para luego insertarse en esta sesin. Una forma sencilla de ver este ataque, es por medio de un ejemplo conceptual el cual incluya un atacante el cual logra acceso a un host de la red, para lgicamente desconectar este de dicha red. Acto seguido, el atacante inserta otra mquina con la misma direccin IP y continua el dialogo con el interlocutor del sistema desconectado ocupando su lugar. Si esto pudiera ser realizado con la suficiente rapidez, el atacante podra ganar acceso a la

19
sesin que involucraba al sistema desconectado y su interlocutor, siendo que el Server podra no notar lo ocurrido y responder como si se tratara de un cliente confiable. Si bien es cierto que este tipo de ataques suelen ser algo sofisticados, la verdad es que con la aparicin de diferentes herramientas en condicin de automatizar los mismos, pueden en ciertos casos ser llevados a cabo con relativa facilidad. Hunt por ejemplo, es una de las herramientas que implementan monitoreo y secuestro de sesin, la cual funciona excepcionalmente bien con sesiones Telnet y FTP. Contramedidas Una de las principales contramedidas a la hora de prevenir secuestros de sesin en conexiones TCP/IP, radica en la utilizacin de sesiones encriptadas y de mtodos de autenticacin fuertes. La utilizacin de protocolos tales como IPSec o Kerberos, permiten entre otras funciones servir como contramedida para la ejecucin de ataques de secuestro de sesin.

ATAQUE SQL INJECTION Los ataques de SQL Injection, se han vuelto muy populares en los ltimos aos. En trminos simples, es una tcnica que los atacantes suelen utilizar para ejecutar consultas SQL arbitrarias sobre una aplicacin conectada a una base de datos, a partir de la inyeccin de cdigo SQL dentro de una aplicacin. Este tipo de ataques, consiste bsicamente en la modificacin del comportamiento de las consultas propias de cada aplicacin, mediante la introduccin de parmetros no deseados en los campos a los que tiene acceso el usuario. A pesar de lo que suele creerse, los ataques de SQL Injection no se deben de modo primario, a un bug o falla en el motor de base de datos. Por el contrario, estos se deben a errores de programacin, esencialmente relacionados con la ausencia de controles estrictos de validacin de entradas en las aplicaciones que se comunican con bases de datos. Si bien el recurso de explotar validaciones de entradas pobremente construidas, no es para nada novedoso dentro del ambiente de la seguridad de la informacin, este tipo de ataques en particular tiene connotaciones diferentes desde el punto de vista del nivel de penetracin que se puede lograr muchas veces con solo disponer de un navegador de Internet y algunos conocimientos bsicos respecto de la forma en la que se construyen sentencias lgicas en lenguaje SQL. Puesto que como hemos mencionado anteriormente, SQL Injection no se trata de la vulnerabilidad de alguna base de datos en particular, sino que por el contrario su explotacin se encuentra relacionada con el aprovechamiento de malas prcticas de programacin, generalmente en rutinas de validacin; es posible la utilizacin de tcnicas de SQL Injection, tanto en Oracle como en MS-SQL como as tambin en MySQL, aunque en cada caso, los metacaracteres utilizados a tal efecto y su interpretacin, posiblemente difieran de una base a otra. Este tipo de errores puede permitir a usuarios malintencionados acceder a datos a los que de otro modo no tendran acceso y, en el peor de los casos, modificar el comportamiento de nuestras aplicaciones. Contramedidas Puesto que SQL Injection es un ataque que se aprovecha de malas prcticas de programacin, la principal contramedida es preventiva y se encuentra relacionada con la codificacin segura de aplicaciones. La implementacin de un estricto control de entrada de datos, es la principal contramedida cuando de prevenir la inyeccin de cdigo se trata. No obstante, a continuacin se mencionan algunas mximas: 1. Escape las comillas simples. 2. Rechace lo que conoce como Bad Input. 3. Solo permita el acceso de Good Input 4. Siempre que sea posible, utilice stored procedures, pero no confe en ellos en un ciento por ciento. Su mala utilizacin, puede hacer que estos tambin sean susceptibles a SQL Injection. 5. Realice auditorias de cdigo en forma peridica

20
ATAQUE XSS Conocido como XSS a fin de evitar confundir este tipo de vulnerabilidades con Cascading Style Sheets (CSS), un trmino comn para referirse a las Hojas de Estilo en Cascada las cuales constituyen un mecanismo para asociar estilos de composicin a documentos estructurados del tipo HTML o XML, Cross Site Scripting es sin dudas hoy en da, el ataque ms comn a nivel de aplicacin. Como caracterstica principal, podemos destacar que XSS es un tipo de vulnerabilidad del tipo Client Side (Del lado del cliente) que a diferencia de muchas otras, no afecta tanto a los servidores que contienen la aplicacin vulnerable, sino que por el contrario a menudo los principales damnificados son los usuarios que navegan dichas aplicaciones a travs de Internet. Los ataques en condicin de aprovechar este tipo de vulnerabilidades, se basan en tcnicas por medio de las cuales se fuerza a un sitio web a repetir el cdigo ejecutable suministrado por un atacante, el cual se carga en el navegador del usuario. El cdigo normalmente est escrito en HTML o JavaScript, pero tambin puede extenderse a VBScript, ActiveX, Java, Flash, o cualquier otra tecnologa soportada por el navegador. En lneas generales, XSS es una vulnerabilidad que radica en la pobre validacin de entrada que los desarrolladores codifican en sus aplicaciones, en relacin al input llevado a cabo por el usuario, generalmente a travs de formularios o de las propias URLs. Por lo general, los tipos de recursos ms susceptibles a contener vulnerabilidades explotables de XSS, son aquellos que toman el ingreso del usuario y lo publican o reproducen en forma dinmica, sin realizar las validaciones correspondientes sobre dicha entrada, resultando en caso de que este input contenga un script, que el mismo se ejecute en el navegador del usuario dentro del contexto de seguridad de la pgina web visitada, pudiendo realizar en el ordenador del usuario, todas y cada una de las acciones que le sean permitidas a ese sitio web, como por ejemplo interceptar entradas del usuario vctima o leer sus cookies. Algunos ejemplos en donde con frecuencia suelen existir condiciones de XSS se cuentan: Weblogs Web bulletin boards Chat rooms Libros de Visita Clientes de Web Mail Motores de bsqueda Formularios de Confirmacin en diferentes aplicaciones. Cualquier aplicacin que refleje el input del usuario sin validar su contenido. Por ltimo, es importante mencionar que en ataques reales, el ingreso del script malicioso no lo genera el usuario que ve la pgina, sino un atacante, el cual consigue de algn modo que el script se ejecute en el navegador del usuario. La vctima ejecuta el cdigo de manera indirecta cuando confiadamente hace clic sobre un enlace fraudulento, el cual puede estar presente en el sitio web del atacante, en un mensaje de correo electrnico o de un grupo de noticias, etc.

21
En resumen, un ataque de Cross Site Scripting funciona de la siguiente forma: 1. El usuario sigue un enlace, que incluye codificada una cadena de entrada como argumento de entrada a algn parmetro de la pgina del sitio web. 2. El sitio web no valida (o lo hace pobremente) la entrada anterior y genera dinmicamente una pgina HTML que incluye el cdigo introducido en el enlace por el atacante. 3. Este cdigo se ejecuta en el navegador de la vctima, con los mismos privilegios que cualquier otro cdigo legtimo del mismo sitio web. Contramedidas El objetivo principal al intentar proteger una aplicacin contra problemas de XSS, no es otro que el de codificar aplicaciones en forma segura, las cuales implementen y refuercen el concepto de validacin de entradas de modo efectivo. Hoy en da algunos lenguajes han comenzado a implementar opciones especiales a fin de verificar el input antes de que este sea publicado en nuestro html, de este modo se obtiene un segundo control, transformando la validacin de entrada en el primero de ellos y el encoding de la informacin a publicar en el seg undo.

ATAQUE PARAMETER URL FORM TAMPERING conoce a un tipo de ataque, el cual relacionado inicialmente con aplicaciones web, se encuentra basado en la alteracin de los datos, generalmente enviados por el servidor, del lado del cliente. Al nivel ms bsico, el proceso de alteracin de los datos por parte del usuario es sumamente sencillo. Cuando un cliente realiza una peticin HTTP por medio de los mtodos GET o POST, el servidor procesa el requerimiento y como resultado enva la pgina HTML que corresponda, la cual puede entre otras cosas, contener valores en campos ocultos los cules si bien no son visualizados desde el navegador, son de hecho efectivamente enviados al realizarse el submit de dicha pgina (por ejemplo como parte de un formulario). Lo mismo, podra ocurrir, en aquellos casos donde los campos del formulario enviado al usuario, resultaran ser valores preseleccionados tal como en el caso de listas desplegables, checkbox, radio buttons, etc.; los valores de dichos campos podran ser manipulados por el usuario, permitiendo por ejemplo, que l decida asignar valores diferentes a los asignados inicialmente por el desarrollador de la aplicacin, consiguiendo en definitiva realizar una peticin HTTP con datos por l alterados. El principal problema detrs del tampering en aplicativos web, radica en el hecho de que muchos desarrolladores confan en la utilizacin de campos ocultos o fijos, para llevar adelante operaciones crticas. Las vulnerabilidades de parameter tampering, suelen a menudo ser reconocidos como ataques a la lgica de la aplicacin y se originan una vez ms en malas prcticas de programacin y una pobre validacin de entradas. Entre los ejemplos ms bsicos de Parameter Tampering, se encuentra el cambio del lado del cliente de los parmetros en los campos de un formulario o la propia modificacin de atributos en una URL determinada, con el objeto de manipular de uno u otro modo el resultado lgico de la aplicacin. En cuanto al uso de campos ocultos, el ejemplo ms tpico es el de la utilizacin de los mismos al publicar el valor de determinados artculos en un portal de ventas on-line. Si para fijar el precio de los mismos, se utilizaran campos ocultos en los formularios, un usuario malicioso podra eventualmente interponer una aplicacin que acte de proxy http tal como Paros entre su browser y el servidor web, para entonces capturar el trfico, editar el valor existente en el campo oculto (no visualizado a travs del navegador, pero accesible al interceptar el trfico pues viaja como valor oculto del formulario) y finalmente enviar al servidor el formulario con los valores de precio del producto (del campo supuestamente oculto) modificado. Una accin de este tipo, permitira que un atacante decida el precio a pagar por cualquiera de los artculos dispuestos en la pgina web del portal de ventas on-line, siempre que no se cuenten con validaciones del lado del servidor y se haya deslindado esta responsabilidad del lado del cliente.

22
Contramedidas A fin de evitar el tampering, se debe evitar el uso de campos ocultos para manejar cualquier tipo de informacin sensible. Al mismo tiempo, las validaciones en cada uno de los parmetros utilizados en una pgina web, deben encontrarse correctamente validados.

ATAQUE WARDIALING Hace algunos aos, cuando Internet an no se encontraba desarrollada como en la actualidad, gran parte de las comunicaciones de datos, eran realizadas a travs de la red telefnica por medio de la utilizacin de mdems. Debido a ello, era muy comn encontrar centros de cmputos donde se apilaban una gran cantidad de mdems conectados a un pool pre-establecido de nmeros telefnicos, de forma tal que por ejemplo, sucursales dispersas pudieran establecer una comunicacin con los mismos, para una vez conectados acceder a los recursos de la red interna de la organizacin. A fin de llevar a cabo este tipo de funciones, varias compaas de desarrollo de software comenzaron a comercializar productos (Remote Control, PCAnywhere, etc.) que fueran capaces de, contando con una porcin CLIENTE (REMOTE) y una porcin SERVIDOR (HOST), brindarles la capacidad a los usuarios de aprovechar sus mdems para establecer comunicaciones de datos entre equipos. En la actualidad, si bien es cierto que tras el auge de Internet, gran parte de las comunicaciones de datos son cursadas a travs de dicha red, tambin lo es el hecho de que an existen aplicaciones o soluciones que involucran la posibilidad de recibir conexiones de datos a partir de una comunicacin del tipo Dial-Up por medio de la utilizacin de mdems. Un ejemplo de este tipo de aplicaciones, se encuentra en centrales telefnicas las cuales a menudo poseen mdems de servicio conectados a lneas dedicadas a fin de que tcnicos puedan accederlas remotamente con el objeto de brindar mantenimiento , realizar cambios de configuracin, etc. Ahora bien, a que nos referimos cuando hablamos de Wardialing? bsicamente al hecho de barrer o escanear grandes rangos de nmeros telefnicos, utilizando para tal fin un MODEM en conjunto con algn tipo de herramienta de software capaz de tomar un listado de telfonos pre-establecidos, discar los mismos e intentar detectar el tipo de dispositivo que se encuentra a la escucha en el otro extremo, para finalmente grabar un archivo de log en donde el atacante/auditor pueda a posterior, conocer en forma exacta si efectivamente existe algn dispositivo o software a la escucha, esperando conexiones entrantes. Al margen de esta operacin bsica, algunas de las herramientas de Wardialing ms potentes, tienen la capacidad de reconocer la existencia de los paquetes de software comerciales ms importantes e incluso intentar lograr acceso, mediante la utilizacin de usuarios y contraseas por default en tales productos. A pesar de lo que pudiera parecer a simple vista, hoy en da an sigue siendo probable hallar dado un rango telefnico, dispositivos a la espera de comunicaciones entrantes. Muchas veces, usuarios corporativos instalan mdems en sus Workstation, de modo tal de poder accederlas remotamente desde sus hogares, sin el consentimiento del administrador de seguridad y violando las polticas internas. Este hecho, podra permitir que un atacante en su etapa de reconocimiento, encuentre este tipo de conexiones por medio de tcnicas de Wardialing y se aproveche de ellas ganando acceso no autorizado a la red corporativa. Contramedidas Las polticas corporativas, deberan prohibir en forma explcita a sus empleados la instalacin de mdems en sus terminales. Por su parte, los analistas de seguridad deberan practicar evaluaciones peridicas, mediante tcnicas de Wardialing, a efectos de detectar posibles puntos de entrada en su rango telefnico. Entre los objetivos posibles por parte de un atacante, podran encontrarse dispositivos tales como: equipos de FAX y centrales telefnicas. Se recomienda evitar siempre que sea posible, la utilizacin de los servicios de acceso remoto de administracin a centrales telefnicas corporativas, sobre todo aquellas vinculadas con la red de datos.

23
ATAQUE INGENIERIA SOCIAL El trmino "Ingeniera social" incluye a un conjunto de tcnicas y habilidades sociales realizadas por el atacante para obtener informacin de terceros. Estas tcnicas o habilidades, incluyen generalmente un engao o parcializacin de la verdad con el objetivo de obtener la confianza de la persona con los conocimientos a obtener. Una vez que se ha obtenido la confianza de la persona, se procede a obtener la informacin considerada importante. La ingeniera social se da muchas veces va telefnica, correo electrnico o a travs de sesiones de chat, donde la verdadera personalidad del atacante queda oculta. Un ejemplo tpico de Ingeniera social, es cuando el atacante llama a un usuario de la red, simulando ser del departamento de informtica, y le exige que le informe de su nombre de usuario y contrasea. Si el usuario que est siendo vctima del engao, no conoce la estructura de la organizacin, es muy probable que le brinde al atacante la informacin solicitada. De esta forma, el atacante, con slo conocer el nmero telefnico de la vctima, y sin realizar ninguna accin sospechosa sobre la red, podr tener acceso con los privilegios de un usuario interno. Otro ejemplo de Ingeniera social se puede observar en el grfico. La ingeniera social termina cuando se obtiene la informacin buscada. Las actividades que se realicen con la informacin obtenida ya no entran en el marco de la Ingeniera social. Contramedidas Aqu, la mejor contramedida es la educacin de los usuarios de la red y la implementacin de planes efectivos de concientizacin. En la poltica que firman los usuarios, se debe especificar que el nombre de usuario y contrasea no pueden ser transmitidos mediante otro medio que no sea persona a persona. De esta forma se evitar tambin que posibles escuchas de la red intercepten la informacin.

ATAQUE DUMPSTER DIVING / TRASHING Aunque parezca desagradable, la bsqueda de datos dentro de la basura puede proveer informacin importante para comenzar un anlisis. Tomar objetos de la basura es completamente legal, por lo que no existe una forma de evitarlo. Quizs la informacin obtenida no sea la necesaria para realizar un ataque, pero por ejemplo, puede ofrecer informacin para realizar Ingeniera Social. Datos tales como agendas con nmeros de telfono, memos, organigramas, resmenes de ventas, planificaciones de reuniones, hardware fuera de uso, manuales de uso, etc. pueden ser un muy buen paso para comenzar la investigacin. Las planificaciones de vacaciones, pueden decirnos qu usuarios se encuentran fuera de la organizacin, los manuales o polticas nos pueden informar sobre la estructura de seguridad y permisos que tienen los usuarios, el hardware en desuso, se puede utilizar para poder recuperar la informacin que tena. Quizs dentro del disco obtengamos nombres de usuarios, contraseas Contramedidas A fin de minimizar el riesgo de que un atacante pudiera obtener informacin a partir de documentos desechados por la organizacin, deberan existir procedimientos claros en cuanto a la destruccin de documentos y eliminacin de informacin digital (wipe) del material de almacenamiento desechado.

24
ATAQUES PASIVOS Cuando nos referimos a un tipo de Ataque Pasivo a diferencia de lo que ocurre en aquellos referidos como Ataques Activos, el atacante no afecta directamente la red objetivo. En cambio en este caso el atacante tan solo escucha pasivamente a la espera de que algo ocurra de modo tal que pueda intentar obtener algn tipo de informacin. Algunos ejemplos bsicos en lo que a Ataques Pasivos respectan, podran mencionarse el simple hecho de escuchar la conversacin que alguien ms est manteniendo o el uso de binoculares para espiar una persona. En los siguientes indicadores, intentaremos brindar algn detalle adicional acerca de los tipos de Ataques Pasivos ms comunes.

ESCANEADORES DE PUERTOS Y VULNERABILIDADES El Escaneadores de Vulnerabilidades, suele ser importante tanto para los atacantes, como para los administradores de seguridad. Bajo este trmino nos referimos al acto de probar un host con el objeto de encontrar algn tipo de proceso o servicio explotable. Existen una serie de herramientas que suelen asistirnos en el proceso de Vulnerability Scanning. Nmap (Network Mapper) es un port-scanner el cual enva paquetes a un host a fin de generar una lista de los servicios que el mismo se encuentra corriendo y el tipo de sistema operativo entre otra informacin de utilidad. Estos datos suelen ser de suma importancia para un atacante a la hora de planificar un ataque efectivo contra el host objetivo. Por ejemplo, si como resultado de la ejecucin de nmap sobre un host determinado, surgiera que el mismo se encuentra corriendo algn tipo de UNIX ejecutando un webserver, sera en vano intentar atacar este con un exploit programado para explotar una vulnerabilidad de IIS (Internet Information Services). Si bien es cierto que un scanner de puertos suele ser de utilidad a la hora de identificar condiciones vulnerables en un host objetivo, un verdadero scanner de vulnerabilidades tal como Nessus, puede ser configurado de modo tal que sea capaz de identificar vulnerabilidades conocidas en diferentes dispositivos y sistemas operativos, para finalmente generar un reporte en el cual se informe el tipo de sistema operativo, los puertos y servicios en ejecucin, as como tambin se identifique cuales son explotables y cules no en funcin de determinadas pruebas que herramientas de este tipo son capaces de llevar a cabo. Por ltimo, es importante mencionar que herramientas de scanning de vulnerabilidades tales como Nessus, suelen por lo general brindar algn tipo de sugerencia respecto a cmo mejorar la seguridad del host evaluado. Contramedidas Si bien es cierto que eventualmente un port scanning o un vulnerability scanning pueden en primera instancia no ser vistos como un ataque, su ejecucin contra un host crtico debera ser signo de que probablemente un atacante este reconociendo su objetivo con el fin de intentar una intrusin. En tal sentido, la implementacin de sistemas de deteccin y prevencin de intrusos (IDS/IPS) podran alertar en el caso de que reiterados procesos de scanning sean realizados contra los servidores ms crticos.

25

SNNIFING y EAVESDROPPING Eavesdropping es el proceso de escuchar una conversacin o parte de sta. En eavesdropping, la persona que "escucha" o tiene acceso a los datos de esta conversacin, lo hace slo porque ninguna de las partes que integran la conversacin ha tenido en cuenta que sus datos pueden ser ledos . Es decir, la posibilidad de tomar e interpretar los datos es por un descuido de las partes. La interceptacin o eavesdropping, es un proceso mediante el cual un agente capta informacin (en claro o cifrada) que no le iba dirigida. Esta captacin puede realizarse por muchsimos medios (por ejemplo, capturando las radiaciones electromagnticas o simplemente interpretando las seales elctricas de los cables) . Aunque no es un ataque que represente un dao o una baja en un servicio, lo ms peligroso del eavesdropping es que resulta muy difcil de detectar mientras que se produce, de forma que un atacante puede capturar informacin privilegiada sin que nadie se d cuenta. Un medio habitual de interceptacin o eavesdropping sobre una red, es el sniffing. Este mtodo consiste en capturar tramas que circulan por la red mediante un software que corre en una mquina conectada al segmento de red o bien mediante un dispositivo que se engancha directamente al cableado. Estos dispositivos, denominados sniffers de alta impedancia, se conectan en paralelo con el cable de forma que la impedancia total del cable y el aparato es similar a la del cable solo, lo que hace difcil su deteccin. Otro punto a tener en cuenta cuando estudiamos eavesdropping es la imposibilidad de establecer lmites concretos en redes wireless. En este tipo de infraestructura, realizar eavesdropping es mucho ms sencillo ya que no se requiere ningn acceso fsico al medio, el medio donde se transportan los datos est disponible siempre. Cualquier usuario malicioso con una placa de red compatible con la tecnologa wireless que se utilice, tiene la posibilidad de "ver" las tramas que circulan desde los Access Points y las placas, si es que no se han implementado las medidas de seguridad adecuadas. Contramedidas Ya que los ataques de eavesdropping son, por lo general, difciles de detectar, es importante considerar algunos puntos claves para evitar o facilitar que se produzca en una red. Algunos de estos puntos son: No permitir la existencia de segmentos de red de fcil acceso ya que representan el sitio indicado para que un atacante se conecte y capture trfico. No obstante esto puede resultar difcil en redes ya instaladas pero puede ser tenido en cuenta para instalaciones nuevas. Utilizar cifrado para realizar las comunicaciones o el almacenamiento de la informacin . Para cifrar la informacin se puede utilizar un software o dispositivos de cifrado (utilizar dispositivos involucran una alternativa ms costosa pero ms eficiente que el uso de software). No permitir tomas de red libres habilitados, donde un usuario malicioso puede conectarse para capturar trfico. Es recomendable analizar regularmente la red para verificar que todas las mquinas activas estn autorizadas. Realizar autenticacin a nivel de la capa de enlace. Por ejemplo, en wireless la utilizacin de 802.11i permite disponer de una capa ms de seguridad en el acceso a la red .

26
SHOULDER SURFING Shoulder Surfing, suele ser el termino para describir un particular tipo de ataque que se aprovecha de la ingenuidad de los usuarios de sistemas. Tal como su nombre lo indica, este tipo de ataque consiste en mirar por encima del hombro, es decir espiar fsicamente a los usuarios, para obtener generalmente nombres de usuario o claves de acceso a un sistema. El Shoulder Surfing no solo se ve beneficiado por la ingenuidad de los usuarios de un equipo; en determinadas circunstancias son los propios desarrolladores de software los que disean aplicaciones susceptibles de sufrir ataques de este tipo. Un claro ejemplo, lo representan aquellas aplicaciones que muestran transparentemente en pantalla, las contraseas al ser tipiadas. Cualquier individuo situado cerca de un usuario el cual este haciendo uso de esta aplicacin, podra eventualmente leer claramente esa clave. Contramedidas Tal como lo mencionramos cuando nos referimos a los ataques de ingeniera social en general, a fin de prevenir el shoulder surfing, se debe principalmente trabajar en la implementacin de planes de educacin y concientizacin de usuarios. Desde el punto de vista tcnico, se debe evitar la utilizacin de cualquier tipo de aplicacin en la cual el ingreso de las passwords tipiadas pueda ser observado en pantalla.

ATAQUES A LOS PASSWORDS En lneas generales, gran parte de las intrusiones que con frecuencia son llevadas a cabo por un intruso, no tienen se valen de fallos en la implementacin de una tecnologa determinada ni en problemas de seguridad de los protocolos utilizados, sino que por el contrario tienen su origen en la explotacin de contraseas inseguras o fciles de adivinar. Paradjicamente, este inconveniente es muy fcil de solucionar (slo es necesario cambiar la contrasea) pero muy difcil de concientizar a los usuarios de la red, respecto de la importancia de utilizar contraseas complejas, variantes en el tiempo. Es necesario hacer responsable al usuario de las acciones que se realicen con su nombre de usuario y contrasea. De esta forma, el usuario tendr ms cuidado al momento de pensar en compartir sus datos. Un usuario malicioso que quiera conocer la contrasea de otro usuario, podra realizar repetidos intentos hasta obtener el ingreso. Por lo que tambin es necesario realizar un control de la cantidad de intentos fallidos de ingreso. En general se permiten slo tres intentos fallidos, luego de eso, se puede deshabilitar la cuenta por un tiempo determinado o hasta que el administrador la vuelva a habilitar. La mayora de los sistemas operativos de red permiten definir una poltica de contraseas . En general, se puede definir la longitud mxima y mnima, el perodo mximo en que estar activa (pasado ese perodo deber ser cambiada), el perodo mnimo en que estar activa (el tiempo que debe transcurrir antes que un usuario est habilitado para cambiar su contrasea), un control de complejidad (para evitar contraseas triviales), un control de historial (para evitar que se repitan las contraseas), etc. Los valores seguros para una poltica de contraseas se pueden observar en el grfico . Aunque existen varias maneras de autenticar un usuario, el uso de passwords estticas suele ser el mtodo tradicional en muchas empresas. Este tipo de passwords puede ser fcilmente vulnerado

27
con herramientas como John the Ripper, L0pht-crack, CAIN, etc. Una vez que los datos de un proceso de autenticacin son capturados, el atacante puede iniciar un crack de la password a travs de tcnicas por Diccionario , Fuerza Bruta o algn Hibrido. En los indicadores dispuestos a continuacin, describiremos cada uno de los mtodos mencionados.

FUERZA BRUTA En trminos simples, la definicin de ataque por fuerza bruta, refiere a la accin de intentar tantas combinaciones de contraseas como sean necesarias hasta dar con la correcta. Si bien es cierto que frente a un conjunto infinito de posibilidades, la probabilidad de dar con la contrasea correcta es nula, tambin lo es el hecho que generalmente la mayora de las contraseas que suelen utilizarse, poseen entre 4 y 16 caracteres. Puesto que tan solo cerca de 100 valores diferentes pueden ser utilizados para cada uno de los caracteres que conforma una contrasea, en el peor de los casos deberan intentarse entre 100^4 y 100^16 combinaciones hasta dar con el valor correcto, tarea que con el poder de cmputo actual, podra ser llevada a cabo sin mayores inconvenientes en un tiempo razonable. Siempre que se mencione la posibilidad de lanzar un ataque de contraseas, es importante tener en cuenta lo que en criptografa se conoce como Keyspace o Espacio de Claves, trmino que se refiere al conjunto de posibles valores usados para construir una clave. Por su parte, otro termino asociado Work Factor o Factor de Trabajo se refiere al tiempo estimado, esfuerzo y recursos necesarios para romper un criptosistema. Si bien es cierto que los ataques a contraseas por fuerza bruta suelen en algunos casos ser la nica opcin en determinados casos, lo cierto es que dicho proceso suele ser considerado costoso en tiempo computacional (dado que utilizan el mtodo de prueba y error), por tanto suele ser la ltima opcin cuando de atacar contraseas se trata. Por ltimo, es posible decir que un ataque por fuerza bruta, tericamente siempre arrojara un resultado positivo en cuanto a lo que hallar la clave correcta se refiere, no obstante en trminos prcticos puede que el tiempo y esfuerzo invertido en tal tarea, termine por no ser efectivo. Dicho de otro modo, puede que para cuando terminemos por romper una contrasea la informacin que estemos tratando de acceder, ya no posea el mismo valor que cuando el ataque fue lanzado. Hoy en da es posible encontrar muchas herramientas en capacidad de lanzar ataques de fuerza bruta contra contraseas. Entre las ms importantes se cuentan: LOphtCrack, Brutus y John the Ripper. Contramedidas El establecimiento de contraseas duras de romper, tal como aquellas que combinan una longitud de entre 7 y 16 caracteres, siendo estos un conjunto de smbolos no imprimibles, letras maysculas, minsculas y nmeros, suele ser una buena contramedida. No obstante, quizs la ms efectiva contra ataques de fuerza bruta, no sea otra que el bloqueo de cuentas luego de una serie determinada de intentos fallidos (3-5).

28
DICCIONARIOS La seleccin adecuada de contraseas, minimiza el riesgo asociado con que nuestras contraseas puedan ser crackeadas, pero claro est que no lo elimina. A menudo passwords simples tal como cualquier palabra de nuestro lenguaje cotidiano, hacen de estas un objetivo sumamente apetecible para los ataques De Diccionario. En este tipo de ataques, largas listas de palabras de un lenguaje en particular llamadas simplemente Archivo de Diccionario son utilizados para lanzar bsquedas en el que, alguna de sus ocurrencias sea coincidente con la clave utilizada por la victima. Generalmente, los ataques por diccionario son mucho ms eficientes y efectivos que los ataques por fuerza bruta, puesto que basados en el hecho de que los usuarios habitualmente seleccionan palabras simples al momento de registrar sus contraseas, basta con contar con el archivo de diccionario adecuado para dar con la contrasea correcta en un tiempo notablemente inferior que el de un ataque por fuerza bruta. En este tipo de ataques, el xito se encuentra relacionado con el tamao y calidad del diccionario utilizado, del criterio utilizado para su seleccin (Pelculas de Cine, Nombres Propios, Lengua Castellana, Lengua Inglesa, etc.) y de la probable debilidad de las polticas utilizadas por los usuarios a la hora de seleccionar sus passwords. Contramedidas En el caso de los ataques mediante la utilizacin de diccionarios, aplican las mismas contramedidas mencionadas en el indicador anterior, aunque la inclusin de caracteres no imprimibles o la creacin de passwords basadas en palabras sin sentido, suelen ser de gran ayuda en cuanto a que estas probablemente no existan en ningn diccionario pre-establecido, y por tanto no pueda ser adivinada mediante la utilizacin de este tipo de mtodos. HIBRIDOS Hoy en da, la mayora de las herramientas avanzadas de cracking de contraseas brindan al atacante o analista de seguridad, no solo la posibilidad de lanzar ataques basados en diccionario o fuerza bruta, sino que adems incorporan la caracterstica de ejecutar lo que se conoce como ataques hbridos, los cuales no son otra cosa que una tcnica consistente en la combinacin de de los ataques de fuerza bruta y diccionario. Cuando un ataque hibrido es lanzado, un archivo de diccionario es utilizado, pero a la vez sobre l se realizan una serie de permutaciones y variaciones intentando ampliar su rango de accin no solo a las palabras conocidas contenidas en el diccionario seleccionado, sino a su vez intentando algn tipo de variacin que pudiera coincidir con el criterio utilizado por el usuario al momento de seleccionar su contrasea. Al momento de configurar este tipo de ataques, es posible al igual que en los ataques de fuerza bruta, el set de caracteres que se utilizar al momento de combinar estos con las bsquedas de diccionario. Contramedidas Los ataques de tipo hbrido, suelen ser efectivos sobre todo cuando se intenta hallar algunas de las combinaciones que con mayor frecuencia utilizan los usuarios al momento de seleccionar sus contraseas tal como la mezcla de una palabra de uso comn con una cifra numrica o un conjunto de caracteres alfabticos (Ej.: Irresponsable123456). Nuevamente, las contramedidas a aplicar siguen siendo principalmente aquellas mencionadas en el indicador 4.6.1 Fuerza Bruta, aunque a menudo suele ser recomendado el armado de contraseas basadas por ejemplo en la seleccin de una frase larga de varias palabras, para luego tomar sus iniciales al momento de establecer una clave (Ej.: El mar nunca ha estado mejor que el da de hoy, no crees? Emnhemqeddhn?)