Documenti di Didattica
Documenti di Professioni
Documenti di Cultura
1. IP Spoofing
Los ataques de suplantacin de
la identidad presentan varias
posibilidades, siendo una de las ms
conocidas la de nominada IP
Spoofing (enmascaramiento de la
direccin IP), mediante la cual un
atacante consigue modificar la
cabecera de los paquetes enviados a
un determinado sistema informtico
para simular que pro- ceden de un
equipo distinto al que verdadera-
mente los ha originado. As, por
ejemplo, el atacante tratara de
seleccionar una direccin IP
correspondiente a la de un equipo
legtimamente autorizado para acceder al sistema que pretende ser engaado. En el documento
RFC 2267 se ofrece informacin detallada sobre el problema del IP Spoofing.
Los propietarios de las redes y operadores de telecomunicaciones podran evitar en gran
medida el IP Spoofing implantando filtros para que todo el trfico saliente de sus redes
llevara asociado una direccin IP de la propia red desde la que se origina el trfico.
Otro posible ataque sera el secuestro de sesiones ya establecidas (hijacking), donde el
atacante trata de suplantar la direccin IP de la vctima y el nmero de secuencia del prximo
paquete de datos que va a transmitir. Con el secuestro de sesiones se podran llevar a cabo
determinadas operaciones en nombre de un usuario que mantiene una sesin activa en un
sistema informtico como, por ejemplo, transferencias desde sus propias cuentas corrientes
si en ese momento se encuentra conectado al servidor de una entidad financiera.
2. DNS Spoofing
Los ataques de falsificacin de DNS pretenden provocar un direccionamiento errneo en
los equipos afectados, debido a una traduccin errnea de los nombres de dominio a direcciones
IP, facilitando de este modo la redireccin de los usuarios de los sistemas afectados hacia
pginas Web falsas o bien la interceptacin de sus mensajes de correo electrnico.
Para ello, en este tipo de ataque los intrusos consiguen que un servidor DNS legtimo
acepte y utilice informacin in correcta obtenida de un ordenador que no posee autoridad para
ofrecer- la. De este modo, se persigue inyectar informacin falsa en el base de datos del
servidor de nombres, procedimiento conocido como envenenamiento de la cach del servidor
DNS, ocasionando con ello serios problemas de seguridad, como los que se describen de
forma ms detallada a continuacin:
Redireccin de los usuarios del servidor DNS atacado a Websites errneos en Internet,
que simulan ser los Websites reales. De este modo, los atacantes podran provocar que
los usuarios des- cargasen de Internet software modificado en lugar del legtimo
(descarga de cdigo daino, como virus o troyanos, desde Websites maliciosos).
La manipulacin de los servidores DNS tambin podra estar detrs de algunos
casos de phishing, mediante la redireccin de los usuarios hacia pginas Web falsas
creadas con la intencin de obtener datos confidenciales, como sus claves de acceso a
servicios de banca electrnica.
3. Ataques de Cross-Site Scripting (XSS)
Los ataques de Cross-Site Scripting consisten bsicamente en la ejecucin de cdigo
Script (como Visual Ba sic Script o Java Script) arbitrario en un navegador, en el contexto
de seguridad de la conexin a un determinado servidor Web.
Son ataques dirigidos, por lo tanto, contra los usuarios y no contra el servidor Web.
Mediante Cross-Site Scripting, un atacante pueda realizar operaciones o acceder a
informacin en un servidor Web en nombre del usuario afecta- do, suplantando su identidad.
Estos ataques se pueden producir cuando el servidor Web no filtra correctamente las
peticiones HTTP de los usuarios, los cuales pueden enviar cadenas de texto a travs de
formularios o directamente a travs de la propia direccin URL de la pgina Web. Estas
cadenas de texto podran incluir cdigo en lenguaje Script, que a su vez podra ser reenviado
al usuario dentro de una pgina Web dinmica generada por el servidor como respuesta a
una determinada peticin, con la intencin de que este cdigo Script se ejecutase en el
navegador del usuario, no afectando por lo tanto al servidor Web, pero s a algunos de los
usuarios que confan en l.
Entre las posibilidades de ataque a travs de Cross-Site Scripting podramos destacar las
siguientes:
Obtencin de cookies e identificado- res de usuarios, que permiten capturar sesiones
y suplantar la identidad de los afectados.
Modificacin de contenidos para engaar al visitante vctima del ataque Cross-Site
Scripting, con la posibilidad de construir formularios para robar datos sensibles, como
contraseas, da- tos bancarios, etctera.
4. Ataques de Inyeccin de Cdigo SQL
SQL, Structured Query Language (Lenguaje de Consulta Estructurado), es un lenguaje
textual utilizado para interactuar con bases de datos relacionales. La unidad tpica de ejecucin
de SQL es la consulta (query), conjunto de instrucciones que permiten modificar la estructura
de la base de datos (mediante instrucciones del tipo Data Definition Language, DDL) o
manipular el contenido de la base de datos (mediante instrucciones del tipo Data
Manipulation Language, MDL). En los servidores Web se utiliza este lenguaje para acceder
a bases de datos y ofrecer pginas dinmicas o nuevas funcionalidades a sus usuarios.
El ataque por inyeccin de cdigo SQL se produce cuando no se filtra de forma adecuada
la informacin enviada por el usuario. Un usuario malicioso podra incluir y ejecutar textos que
representen nuevas sentencias SQL que el servidor no debera aceptar. Este tipo de ataque es
independiente del sistema de bases de datos subyacente, ya que depende nicamente de una
inadecuada validacin de los datos de entrada.
Como consecuencia de estos ataques y, de- pendiendo de los privilegios del usuario de base
de datos bajo el cual se ejecutan las consultas, se podra acceder no slo a las tablas relaciona-
das con la operacin de la aplicacin del servidor Web, sino tambin a las tablas de otras
bases de datos alojadas en el mismo servidor Web. Tambin pueden propiciar la ejecucin de
comandos arbitrarios del sistema operativo del equipo del servidor Web.
5. Denegacin del Servicio (Ataques DoS Denial of Service)
Los ataques de Denegacin de Servicio (DoS)
consisten en distintas actuaciones que persiguen
colapsar determinados equipos o redes
informticos, para impedir que puedan ofrecer
sus servicios a sus clientes y usuarios. Para ello,
existen varias posibilidades de conseguirlo:
Ejecutar algunas actividades que
produzcan un elevado consumo de los
re- cursos de las mquinas afectadas:
procesador, memoria y/o disco duro,
provocando una cada en su
rendimiento. Entre ellas podramos citar
el estable- cimiento de mltiples
conexiones simultneas, el envo
masivo de ficheros de gran tamao o los
ataques lanzados contra los puertos de
configuracin de los routers.
Provocar el colapso de redes de ordenadores mediante la generacin de grandes
cantidades de trfico, general-mente desde mltiples equipos.
Transmisin de paquetes de datos mal- formados o que incumplan las reglas de un
protocolo, para provocar la cada de un equipo que no se encuentre prepara- do para
recibir este tipo de trfico malintencionado.
Sabotajes mediante routers maliciosos, que se encarguen de proporcionar informacin
falsa sobre tablas de enrutamiento que impidan el acceso a ciertas mquinas de la red.
Activacin de programas bacteria, cuyo objetivo es replicarse dentro de un
sistema informtico, consumiendo la memoria y la capacidad del procesador hasta
detener por completo al equipo infectado.
Envo masivo de miles mensajes de correo electrnico (mail bombing), provocando
la sobrecarga del servidor de correo y/o de las redes afectadas.
Un ejemplo habitual es el de un telfono: si alguien quiere molestar, slo tiene que llamar, de
forma continua. Si se descuelga el telfono (para que deje de molestar), tampoco se puede recibir
llamadas de otras personas. Este problema es habitual, por ejemplo, cuando alguien intenta
mandar un fax empleando el nmero de voz: el fax insiste durante horas, sin que el usuario
llamado pueda hacer nada al respecto.
En el caso de Net Flooding ocurre algo similar. El atacante enva tantos paquetes de solicitud de
conexin que las conexiones autnticas simplemente no pueden competir.
En casos as el primer paso a realizar es el ponerse en contacto con el Proveedor del servicio
para que intente determinar la fuente del ataque y, como medida provisional, filtre el ataque en
su extremo de la lnea.
El siguiente paso consiste en localizar las fuentes del ataque e informar a sus administradores,
ya que seguramente se estarn usando sus recursos sin su conocimiento y consentimiento. Si el
atacante emplea IP Spoofing, el rastreo puede ser casi imposible, ya que en muchos casos la
fuente del ataque es, a su vez, vctima y el origen ltimo puede ser prcticamente imposible de
determinar (Looping).
8. Smurf (pitufo): ataque DoS que se lleva a cabo mediante el envo de una gran cantidad
de mensajes de control ICMP (Internet Control Message Protocol) de solicitud de eco dirigidos
a direcciones de difusin (direcciones (servicio disponible en el puerto 7, que responde a
cada uno de los paquetes que recibe), para de este modo conseguir un intercambio
interminable de paquetes UDP entre los dos equipos, generando una especie de tormenta de
paquetes UDP. Para evitar este tipo de ataques conviene desactivar estos ser- vicios en los
equipos de la red, as como filtrar este trfico a travs de un cortafuegos.
Este ataque es bastante simple y a su vez devastador. Consiste en recolectar una serie de
direcciones BroadCast para, a continuacin, mandar una peticin ICMP (simulando un Ping) a
cada una de ellas en serie, varias veces, falsificando la direccin IP de origen (mquina vctima).
Este paquete maliciosamente manipulado, ser repetido en difusin (Broadcast), y cientos
miles de hosts mandarn una respuesta a la vctima cuya direccin IP figura en el paquete ICMP.
Grficamente:
El ataque Snork es similar al bucle UDP. Emplea un marco UDP en el que el puerto
de origen puede ser el 7 (echo) o el 9 (chargen) y el puerto de destino es el
135 (servicio de localizacion de Microsoft). Con ello se consigue el mismo
resultado que con el bucle UDP, un flujo de transmisiones basura que reduce el
rendimiento o hace que el/los sistema/s quede/n anulado/s.
Puede funcionar como sniffer (podemos ver en consola y en tiempo real qu ocurre en nuestra
red, todo nuestro trfico), registro de paquetes (permite guardar en un archivo los logs para su
posterior anlisis, un anlisis offline) o como un IDS normal (en este caso NIDS). Cuando un
paquete coincide con algn patrn establecido en las reglas de configuracin, se logea. As se
sabe cundo, de dnde y cmo se produjo el ataque.
Varios piratas informticos lograron acceder a los sistemas del Banco Central de
Banglads y transferir 81 millones de dlares a varios casinos de Filipinas. Un error
ortogrfico evit la catstrofe: el nombre mal escrito de uno de los destinatarios levant
las alarmas y permiti bloquear el ataque, planeado para obtener casi mil millones de
dlares.
SNORK CDP
SMORF PITUFO
INYECCION DE
CODIGOS
NAVEGACION DE
SERVICIO DISTRIBUIDO
CROSS-SITE
SCRIPTING
IP SPOOFING
NET FLOOD
CONNENCTION FLOOD
DOS-DENIAL OF SEVICE