MGTIC UPAO / 1

_____________________________________________________________________________

UNIVERSIDAD PRIVADA ANTENOR ORREGO

TRUJILLO

MAESTRIA DE SISTEMAS CON MENCIN EN:

GERENCIA EN TECNOLOGIAS DE INFORMACION
Y COMUNICACIONES

AUDITORIA Y CONTROL DE TI
Docente:
Ms. Ing. Edwin Valencia Castillo. CISA
EL ARTE DE LA INTRUSIN

PRESENTADO POR :
Ing. Franklin Guerrero Campos

2014
_____________________________________________________________________________
Auditora y Control de TI

MGTIC UPAO / 2
_____________________________________________________________________________

EL ARTE DE LA INTRUSIN
SU BANCO ES SEGURO, NO?

1. En la lejana Estonia
Estonia es mucho ms moderna de lo que yo imaginaba, como supe por Juhan, un
hacker que vive all.
Es un pas pequeo de alrededor de 1,3 millones de habitantes, enclavado entre Rusia y
el Golfo de Finlandia. La capital, Tallin, sigue teniendo edificios en cemento que cruzan
la ciudad como cicatrices y que son monumentos montonos al intento del ya
desaparecido imperio sovitico de dar vivienda a todos sus sbditos al precio ms
asequible que pudiera ofrecer.
Pero la realidad es que Estonia entr en la Unin Europea el da uno de mayo de 2004"
Ya a principios de los noventa, Estonia comenz a implementar la infraestructura
para la banca electrnica. Los cajeros automticos y la banca por Internet. Es muy
moderna. De hecho, las compaas estonias ofrecen tecnologa y servicios
informticos a otros pases europeos.
Y, desde el punto de vista del sector financiero, creo que lo que permite a los
americanos establecer una conexin es que Estonia nunca ha tenido la
infraestructura de cheques bancarios, los cheques que vosotros utilizis tanto
para pagar las cuentas en los supermercados.
Ms del 90 95 por ciento de los particulares y las empresas hacen transferencias
por Internet.
El Banco de Perogie
Eso fue lo que estaba haciendo Juhan cuando se encontr con el sitio Web de lo que
llamaremos el Banco de Perogie. Pareca un objetivo interesante de explorar.
Me met en la seccin interactiva de preguntas ms frecuentes en la que la gente
puede colocar preguntas. Tengo la costumbre de mirar en el cdigo fuente de los
formularios de las pginas Web
Utilizaba Unix. Eso delimit inmediatamente el tipo de ataques que intentara.
Cuando intent cambiar el valor almacenado en el elemento de formulario oculto "qued
claro que no solicitaran ningn tipo de autentificacin. De modo que para el servidor
bancario era lo mismo que enviara un ingreso desde la ubicacin de una oficina o desde
un PC local", explica.
Cambi los atributos al elemento de formulario oculto para que apuntara al archivo de
contraseas para poder visualizarlo en la pantalla.
Pudo descargar las contraseas cifradas y pasarlas por un craqueador de contraseas.

_____________________________________________________________________________
Auditora y Control de TI

MGTIC UPAO / 3
_____________________________________________________________________________
Aplic utilizando un diccionario estndar de ingls. Por qu ingls y no estonio? "Aqu
es muy normal utilizar contraseas en ingls". Lo cierto es que muchos estonios tienen
un buen conocimiento del ingls bsico.
Juhan recuper la contrasea de superusuario y obtuvo as los privilegios
deadministrador.
Me sorprendi cmo se fueron sucediendo los acontecimientos porque lo cierto
es que la seguridad en Estonia es mejor que en ningn otro sitio
Opinin Personal
Juhan ha llegado a la conclusin que lo que ms interesa a una empresa cuya seguridad
ha sido comprometida, no es denunciar al hacker, sino trabajar con l para solucionar los
problemas que haya descubierto. Sera algo as como la filosofa de "si no puedes con el
enemigo, nete a l"
Si intentas que tus sistemas sean a prueba de tontos, siempre habr otro tonto
ms ingenioso que t.
2. Intrusin en un Banco lejano
Gabriel habla francs como lengua materna y vive en un pueblo de Canad tan pequeo
que, a pesar de describirse como un hacker blanco y considerar que la modificacin de
pginas Web es un acto de estupidez, reconoce que lo "ha hecho en una o dos
ocasiones, cuando estaba aburrido hasta el punto de la desesperacin", o cuando
encontr un sitio "en el que la seguridad era tan chapucera que alguien tena que
aprender una leccin".
Encontr un sitio Web que visualizaba qu "rangos de direcciones IP (netblocks) estaban
asignadas a qu organizaciones concretas".
Busc en la lista "palabras del tipo 'gobierno', 'banco' o algo as" y apareca un rango de
IP (por ejemplo, del 69.75.68.1 al 69.75.68.254), que despus analizara
Uno de los elementos con los que se encontr fue una direccin IP que perteneca a un
banco concreto situado en el centro de Dixie
Un hacker se hace, no nace.
Sus padres, que trabajaban ambos para el gobierno, no podan entender la obsesin de
su hijo por las mquinas, aunque eso parece un problema comn entre las generaciones
que han crecido en pocas tecnologas tan diferentes como el da y la noche.
Este canadiense que ahora tiene 21 aos parece tener una especie de talento hacker
que le permite hacer descubrimientos por s mismo. Incluso en el caso de las
herramientas hackers bien conocidas, la habilidad personal es lo que marca la diferencia
entre un hacker y los "script kiddies", que no descubren nada por s solos, sino que se
dedican a descargar lo que encuentran en la Web. Uno de sus programas favoritos se
llamaba Spy Lantern Keylogger.
Adems, tambin utilizaba la funcin de "supervisin" que ofrece la aplicacin llamada
Citrix MetaFrame (un paquete de acceso bajo demanda para empresas), diseada para
permitir que los administradores del sistema supervisen y ayuden a los empleados de la
empresa de forma remota.

_____________________________________________________________________________
Auditora y Control de TI

MGTIC UPAO / 4
_____________________________________________________________________________
Un hacker diestro que localice una empresa que ejecute Citrix puede hacer lo mismo:
tomar el control de los ordenadores. Obviamente, es necesario ser muy precavido. Si el
hacker no tiene cuidado, alguien advertir sus acciones, porque cualquiera que est
sentado delante del ordenador ver el resultado de los pasos que est dando el hacker
(mover el cursor, abrir aplicaciones, etc.)
Naturalmente, un hacker que quiere hacerse con el ordenador de alguien, por lo general,
elige una hora del da en la que es probable que no haya nadie cerca. "Normalmente lo
hago durante la noche. Para asegurarme de que no hay nadie all. O simplemente
compruebo la pantalla del ordenador. Si el salvapantallas est activo quiere decir,
normalmente, que no hay nadie en el ordenador"
Las palabras "S que me ests mirando" se encendieron en la pantalla de Gabriel. "Sal
inmediatamente". En otra ocasin, encontraron algunos archivos que l haba estado
acumulando. "Los borraron y me dejaron un mensaje: 'TE DEMANDAREMOS HASTA
DONDE NOS PERMITA LA LEY"'.
La intrusin en el banco.
Gabriel, vagando por la red, encontr detalles sobre las direcciones IP del banco de
Dixie sigui el rastro y descubri que no haba tropezado con el banco de una pequea
ciudad, sino que era un banco con abundantes contactos en el pas y en el extranjero. Y
lo que es ms interesante, tambin descubri que los servidores del banco ejecutaban
Citrix MetaFrame, el software de servidor que permite a los usuarios acceder
remotamente a su estacin de trabajo.
Gabriel y un amigo haban observado en sus experiencias anteriores de hacking.
El chico buscaba concretamente los sistemas que tuvieran el puerto 1494 abierto,
porque se es el puerto que se utiliza para acceder remotamente a los servicios del
terminal Citrix.
Con el tiempo, encontr la contrasea de los cortafuegos del banco. Intent conectarse
a un router, sabiendo que algunos routers comunes vienen con la contrasea
predeterminada "admin" o "administrador" y que mucha gente, no slo los particulares
que no entienden de redes sino, incluso, los profesionales de informtica, implementan
una unidad nueva sin pensar si quiera en cambiar la contrasea predeterminada.
Una vez que hubo accedido, aadi una regla de cortafuegos para permitir las
conexiones entrantes al puerto 1723, el que se utiliza para los servicios de Red Privada
Virtual (VPN) de Microsoft, diseados para permitir que usuarios autorizados puedan
tener una conectividad segura a la red corporativa.
La intrusin en el banco, dice Gabriel, fue tan fcil que result "muy tonto". El banco
haba contratado a un equipo de consultores de seguridad que antes de irse dej un
informe. Gabriel descubri el informe confidencial almacenado en un servidor. Inclua
una lista de todas las vulnerabilidades de seguridad que el equipo haba encontrado y
que serva de plano para explotar el resto de la red.
El banco utilizaba como servidor un IBM AS/400, un ordenador con el que Gabriel tena
poca experiencia. Pero descubri que en el servidor de dominios de Windows se
guardaba un completo manual de operaciones de las aplicaciones utilizadas en ese
sistema, y se lo descarg. Cuando, a continuacin, introdujo "administrador", la
contrasea predeterminada de IBM, el sistema le dej entrar.
Yo dira que el 99 por ciento de la gente que trabajaba all utilizaba "contraseal23
"como contrasea. Tampoco tenan un programa antivirus ejecutndose en
segundo plano. Quizs lo ejecutaran una vez a la semana o menos.
_____________________________________________________________________________
Auditora y Control de TI

MGTIC UPAO / 5
_____________________________________________________________________________
Gabriel hizo su agosto: encontr un juego entero de manuales de cursos online sobre
cmo utilizar las aplicaciones crticas en el AS/400. Tena la posibilidad de realizar todas
las actividades de un cajero: transferir fondos, ver y cambiar la informacin de las
cuentas de un cliente, observar la actividad de los cajeros automticos de todo el pas,
comprobar los prstamos bancarios y las transferencias, acceder a Equifax para solicitar
verificaciones de crditos, incluso revisar archivos de los juzgados para la verificacin de
los antecedentes. Descubri tambin que desde el sitio Web del banco poda acceder a
la base de datos informtica del Departamento de Vehculos a Motor del estado.
Gabriel esper tranquilamente a que un administrador del dominio se registrara en la
mquina objetivo. El programa funciona de forma muy similar a una bomba trampa, que
se activa cuando se produce un suceso concreto, en este caso, el suceso es que se
registre de un administrador del sistema.
Gabriel volvi a la escena del delito para obtener los hashes de contraseas y ejecut un
programa para craquear las contraseas utilizando el ordenador ms potente al que tuvo
acceso.
En ese sistema, una contrasea sencilla como puede ser "contrasea" puede
craquearse en menos de un segundo. Las contraseas de Windows parecen
especialmente fciles, mientras que una contrasea complicada que utilice smbolos
especiales puede requerir mucho ms tiempo. "Tuve una que para descifrarla necesit
todo un mes", recuerda Gabriel compungido.
A alguien le interesa una cuenta bancaria en Suiza?
Tambin encontr el camino hacia uno de los rincones ms extremadamente
confidenciales de cualquier operacin bancaria, el proceso para generar transferencias.
Pero un formulario de un banco no sirve de nada si uno no sabe cmo rellenarlo
correctamente. Result que eso no era ningn problema, tampoco. En el manual de
instrucciones que haba localizado anteriormente haba un captulo especialmente
interesante. No necesit leer mucho del captulo para encontrar lo que necesitaba.
Posteriormente
A pesar de disponer de acceso a tantas partes del sistema del banco y de tener a su
alcance un enorme poder sin autorizacin, Gabriel no puso la mano en la caja, lo que es
digno de reconocimiento. No estaba interesado en robar fondos ni sabotear la
informacin del banco, aunque s pens en mejorar las tasas de inters de los crditos
de algunos amigos.
Encontr un montn de documentos en su servidor sobre la seguridad fsica, pero
eso no tiene nada que ver con los hackers. Efectivamente, encontr algo sobre los
consultores de seguridad que contrataban cada ao para comprobar los
servidores, pero no es suficiente para un banco. Los esfuerzos realizados para la
seguridad fsica son buenos, pero no dedican la atencin necesaria a la seguridad
informtica.
3. Diludacin

_____________________________________________________________________________
Auditora y Control de TI

MGTIC UPAO / 6
_____________________________________________________________________________
El cdigo utilizaba un elemento de formulario oculto que contena el nombre de archivo
de una plantilla de formulario, que se haba cargado con el script CGI y se mostraba a
los usuarios en su explorador Web.
La intrusin en el banco Dixie es otro ejemplo de la necesidad de defensa en
profundidad. En este caso, la red del banco pareca estar plana; es decir, no contaba con
la proteccin suficiente aparte del nico servidor Citrix.
El personal responsable de la seguridad de la informacin del banco se confi en exceso
ante la falsa sensacin de seguridad que les proporcion la auditora externa que
contrataron y que quizs les elev injustificadamente el nivel de confianza en su actitud
ante la seguridad global
4. Contramedidas
El sitio Web del banco online debera haber solicitado que todos los desarrolladores de
aplicaciones Web aplicaran las prcticas fundamentales de programacin segura o
haber exigido una auditora de todo el cdigo introducido.
Una vigilancia relajada de la red y una escasa seguridad de las contraseas en el
servidor Citrix fueron los errores ms graves en este caso.
El hacker escribi un pequeo script y lo coloc en la carpeta de inicio del administrador
para que cuando ste se registrara, se ejecutara silenciosamente el programa pwdump3.
Como es natural, ya tena los privilegios de administrador.
Una lista parcial de contramedidas incluira las siguientes:

Comprobar en todas las cuentas cundo se cambi por ltima vez cada
contrasea de las cuentas de servicios del sistema, como "TSINternetUser
Compruebe si hay contraseas creadas durante horas extraas del da, porque
el hacker puede no percatarse de que al cambiar las contraseas de las cuentas
est dejando huellas que se podran seguir en una auditora.
Restrinja los registros de usuario interactivos a las horas de trabajo.
Habilite auditoras al iniciar y al cerrar la sesin en cualquier sistema al que se
pueda acceder de forma inalmbrica, por acceso telefnico por Internet o
extranet.
Implemente programas como el SpyCop (disponible en www.spycop.com) para
detectar registradores de tecleo no autorizados.
Est atento a la instalacin de actualizaciones de Seguridad. En algunos
entornos, puede interesar descargar automticamente las ltimas
actualizaciones.
Compruebe los sistemas a los que se pueda acceder desde el exterior para
saber si hay software de control remoto.
Inspeccione minuciosamente todos los accesos que utilicen Windows Terminal
Services o Citrix MetaFrame.

_____________________________________________________________________________
Auditora y Control de TI