Seguridad en Internet

ColombiaUnderground Team
Principios de seguridad en Internet
By:
Flacman
flacman@colombiaunderground.org
Contenido
Capitulo 1 (INTRODUCCION AL SUB-MUNDO)
1. Introduccin 2. Que son los Hackers? 2.1. Cmo surgieron? 2.2. Quienes son? 2.3. Carta de un Hacker 3. Etica Hacker 4. Monarqua Hacker 5. Phreaking 5.1. Historia del Phreaking 6. Crackers 6.1. Formas de Crashing 7. Copy Hackers 8. Newbies 9. La escoria de la red 9.1. Script Kiddies 9.2. Bucaneros 9.3. Lammers 10. Actividades en el submundo 10.1. 10.2. 10.3. Virii Cryptografa Programacin
10.4. 10.5. 10.6.
Ingeniera social Tunneling Carding
11. Hackers famosos 11.1. 11.2. 11.3. 11.4. 11.5. 11.6. Robert Morris Steve Wozniak Vladimir Levin Genocide Kevin Mitnick: el chacal de la red Mafia Boy
Capitulo 2 (Mtodos de ataque)

12. INTRODUCCION 13. CRASHING 13.1. 13.2. 13.3. 13.4. 13.5. 13.6. 13.7. TIEMPO DE USO LIMITADO CANTIDAD DE EJECUCIONES LIMITADAS NMEROS DE SERIE MENSAJES MOLESTOS Y NAGS FUNCIONES DESHABILITADAS CD-ROM ARCHIVOS LLAVE
14. VIRII O VIRUS 14.1. 14.2. 14.3. 14.4. QU ES UN VIRUS? CMO SE CONSTRUYEN? HISTORIA DE LOS VIRUS TIPOS DE VIRUS VIRUS DE BOOT
14.4.1.
14.4.2. 14.4.3. 14.4.4. 14.4.5. 14.4.6. 14.5. 14.6.
VIRUS DE FICHERO VIRUS DE SOBREESCRITURA VIRUS DE COMPAIA VIRUS COMPRESORES VIRUS DE ENLACE DIRECTO
VIRUS FAMOSOS CABALLOS DE TROYA O BACKDOORS MEDIOS DE TRANSMICION
14.6.1.
14.6.1.1. MENSAJES DE CORREO 14.6.1.2. TELNET 14.6.1.3. REDES COMPARTIDAS 14.6.1.4. OTROS SERVICIOS DE INTERNET 14.6.2. TROYANOS FAMOSOS
15. OCULTISMO DE VIRUS 15.1. 15.2. 15.3. 15.4. 15.5. TUNNELING STEALTH AUTO ENCRYPTACIN MECANISMOS POLIFORMICOS ARMOURING
16. PIRATERIA POR MAIL 16.1. 16.2. 16.3. SPAM MAILING HOAXES OBTENCION DE CONTRASEAS
17. CARDING 18. SNIFFERS y KEYLOGGERS 18.1. SNIFFERS
19. IP SPOOFING 20. D.o.S 20.1. 20.2. 20.3. CONSUMO DE ANCHO DE BANDA ATAQUE DOS GENRICO ATAQUES DNS
20.4. 21. TELNET 21.1.
DESBORDAMIENTO DEL BUFFER
TELNET INVERSO
22. INGENIERIA SOCIAL
Capitulo 3 (Mtodos de defensa)
23. INTRODUCCION 24. ANTIVIRUS 24.1. 24.2. 24.3. HEURISTICA Y FUNCIONAMIENTO DEL ANTIVISUS SINTOMAS LABORATORIOS DE ANTIVIRUS
25. FIREWALL 26. PROXIES Y STEALTH 27. CYPTOLOGIA 28. FIRMAS Y PRIVASIDAD 29. CONCLUSIONES
30. BIBLIOGRAFA 31. GLOSARIO
Capitulo 1 (INTRODUCCION AL SUB-MUNDO)
1. INTRODUCCION:
En la actualidad el tema sobre los hackers es muy comn, podemos verlo en revistas, peridicos, etc. Pero los escritores saben en realidad quienes son? El da lunes once de octubre de 2002 en el peridico El Tiempo, apareci un artculo sobre los hackers el cual los describa a ellos y sus actividades. Ac los describan como piratas y ladrones de Internet, los cuales tenan un nico propsito, destruir. El nombre de los hackers en nuestra sociedad esta siendo manchado por los medios de comunicacin y por la falta de informacin de ellos y de la sociedad. No pretendo defender a todas las personas que duran das enteros frente a un computador, lo que quiero es destruir los argumentos de los prejuiciosos reporteros y escritores sobre este tema.
Aunque no podemos decir que todas las personas que entran a la red tienen buenos propsitos, tampoco podemos decir que todos son malos, existen personas buenas, malas y los que pasan desapercibidos. Es un mundo muy grande para poder generalizarlo todo como lo hacen los medios.
El principal objetivo de este proyecto es mostrar a los lectores los posibles riesgos que pueden tener al estar frente a un ordenador y como defenderse de ellos. Para conseguir esto, este trabajo se ha dividido en tres captulos, Introduccin al submundo, reconocer el medio en el que navegamos y donde habitan los mayores riesgos de Internet y conocer los diferentes tipos de "razas" de personas con los que nos podemos topar en este submundo, Mtodos de ataque, Analizar los diferentes medios y amenazas que nos rodean, y por ltimo, Mtodos de defensa, conocer las soluciones que nos
ofrece Internet para defendernos de los problemas que se pueden encontrar, y as no sufrir las molestias que nos proporciona Internet.
2. QUE SON LOS HACKERS:
2.1.
COMO SURGIERON:
La palabra hacker se divide en tres partes: La ms conocida es un sinnimo de delincuentes informticos, personas que tienen como nico objetivo destruir todo lo que se encuentre a su alcance. Para otras personas esta palabra es sinnimo de inteligencia, de genios informticos que duran das enteros frente a un ordenador. Por ultimo est la verdadera historia de este termino, hace mucho tiempo cuando se usaban ordenadores de gran tamao y telfonos antiguos, se le llamaba a los tcnicos de los sistemas hackers. Estas personas para arreglar estos aparatos le proporcionaban un golpe a la maquina el cual tomo el nombre de hack, o traducido al espaol hachazo, y era el mtodo utilizado de arreglar un telfono o una maquina.
Despus, un grupo de estudiantes de la universidad MIT se nombraron Hackers al poder construir una puerta trasera al ordenador principal, que les permiti entrar desde sus habitaciones y as poder conseguir informacin y trabajar en sus proyectos personales. Desde ese momento empez la piratera en la red, aunque estos estudiantes no tuvieran malas intenciones fueron juzgados y expulsados. As se empezaron a crear grupos de hackers, pero no todos eran malos, la mayora de estos, los verdaderos hackers, solo queran obtener informacin para poder ser calificados como los mejores en le tema, y as sobresalir ante la sociedad hacker. 1
1
Diario de un hacker. Confesiones de hackers adolescentes, Dan Verton Mc Graw Hill, 1999
A diferencia de estos existan otros grupos de gente maliciosa que pretendan infiltrarse en los computadores de otras compaas para sacar informacin y venderla. Poco a poco los hackers fueron consiguiendo mala fama por culpa de los verdaderos piratas de la red, los medios los juzgaban como un solo grupo uniendo a los buenos con los malo, y as la nuestra sociedad se quedo con la mala imagen de los hackers.
Por esta razn los verdaderos genios informticos ahora intentan recuperar su mala imagen, pero sin mucho xito. Este es mi objetivo personal para proyecto, limpiar su imagen. Aqu voy a informar a los lectores sobre los diferentes tipos de aficionados a la informtica, sus hazaas, sus tcnicas, y lo ms importante, como defenderse de los enemigos de la red.
Para sustentar la idea de la corrupcin del nombre hacker, se realizo una encuesta que demuestra la influencia de los medios de comunicacin en la poblacin. Le preguntamos que es un hacker? A un variado grupo de personas.
Ingeniero de sistemas:
El hacker hoy en da es un tipo muy inteligente, pero con las malas costumbres de tratar de meterse en sistemas de otros en general con malas intenciones, desde espiar tus archivos, hasta monitorear los passwords y logins, para meterse en tus cuentas de banco, tarjetas de crdito, etc., es decir un desgraciado.
Aficionado en computadores:
Yo creo que un hacker es una que usa los computadores para usar y crear programas o encontrar errores en los programas entonces ellos pueden usarlos
para propsitos que normalmente no se usan, algunas veces se usan para explorar computadores, o ponerse alrededor de barreras de seguridad, o para crear nuevos usos para estos programas y algunas veces sin el permiso de estas personas que son dueas de los programas.
Antiguo ingeniero de sistemas:

Un hacker es una persona q vive metindose en los computadores, es un tipo muy bueno en el uso de los computadores y en informtica, entiende todo lo referente a ello. Es buscado por empresas para que trabajen para ellos por que es muy efectiva.
Ex-Hacker:
Es una persona que aprovecha errores de los sistemas, como los de Windows, para hacer bien propio o comunal, informa de los errores y hay veces se meten en los sistema de forma ilegal.
Estudiante de ingeniera:
Los ladrones de Internet, se roban las contraseas y roban a todo el mundo y roban con los cdigos de tarjeta de crdito de los dems, tambin se infiltra en las redes para daarlas.
Nio de doce aos:

Ellos son unos duros en Internet, son unas personas muy inteligentes manejando computadores. Lo nico malo es que son malos y destruyen todo metindole viruses a los computadores.
2.2.
QUIENES SON?:
"Podramos ser los chicos que le suministran la gasolina de su coche. Lo que
realmente tiene que saber es que nos diseminamos tan rpidamente como el conocimiento... a la velocidad de la informacin" Genocide
Muchos piensan que ellos son personas que buscan agujeros de seguridad en las redes, o son personas que busca sitios Web para infiltrarse y destruirlos, y aun ms, dicen que es una persona que vive metida en un computador todo el da, viajando por un submundo lleno de informacin. Un hacker es una persona normal, que tiene un sueo y un propsito como todos y este esta en la investigacin y en afn de superacin en su medio. Estas personas normalmente van en contra de cualquier inters econmico o comercial y sus creaciones son compartidas por la red de forma gratuita. Ellos escriben documentos con el propsito de ensear su cultura a cualquier persona interesada en el tema de forma gratuita y se empean en ayudar a los nuevos a seguir su cultura. Los verdaderos hacker no son realmente malos, si, en algunas ocasiones se infiltran en redes ajenas, pero tienen sus razones: la primera es conseguir informacin con el objetivo de aprender y la segunda es para descubrir fallas de seguridad en estos servidores ajenos y as darlas a conocer para que el problema sea arreglado. Los propsitos de los hackers son buenos, ellos principalmente se especializan en la programacin y la seguridad informtica. Su aficin a las matemticas y a los computadores les impiden acercarse a un mal camino.
Otra gente tambin confunde a los hacker con nerds, un nerd es una persona que es sobresaliente en algn rea de la tecnologa y que es socialmente inepto. En su versin extrema a algunos Nerds se les pone el termino de "muchos MIPS sin encendido(I)/apagado(O)" debido a que son muy brillantes, pero incapaces de comunicarse con otros seres humanos. No confundir con el
10
Hacker, pues aunque la falta de comunicacin con el ser humano estndar les ayuda concentrarse en su trabajo, el conocimiento tcnico no necesariamente significa falta habilidades sociales. Esto tampoco es un hacker, la mayora de ellos tienen novias y hasta algunos una vida social muy amplia, no niego que existan hackers nerds, pero no obligatoriamente un hacker tiene que ser un nerd.2
Durante la dcada de los 80 los mejores hackers hicieron posible lo que en la dcada de los 90 se ha conocido como el 'boom de Internet'. Ellos fueron lo que construyeron la WWW (World Wide Web), y crearon todos los protocolos y las ordenes para que los ordenadores puedan continuar con sus acciones rutinarias en la red. Pero no solo fue eso, ellos crearon las redes de las universidades y las grandes compaas, y nos demostraron que en este mundo no existe un computador o una red segura. Ellos hicieron lo que muchas personas crean que era imposible, entrar en una computadora principal, y as hicieron que las compaas se dieran cuenta de los riesgos que tenan al instalar un computador en la red. Un hacker, en contra de lo que los medios pueden dar a entender
3
es
una
persona
constructiva,
es un creador de alternativas.
2.3.
CARTA DE UN HACKER
La siguiente carta fue escrita por un hacker a una editorial espaola para mostrar su incomodidad hacia los medios y con el propsito de limpiar el nombre de los hackers: "Hola, soy Cybor. Probablemente no me conozcan. Tampoco pretendo salir en la prensa. Eso no me importa, sin embargo si hay otras cosas que me interesan ms que mi identidad. Por ejemplo, me interesan las aperturas de sistemas
2 3
http://www.paralax.com.mx/antivirus/ar03-hackersyvirus.html http:// www.lycos.com/hacknova/foro.php
11
cifrados. Pero eso es algo que nadie te ensea. Eso tienes que aprenderlo por ti mismo. Tambin me interesa que todos sepan quienes somos y que no estamos solos en este peculiar mundo. Me interesa que sepan que no todos los Hackers somos iguales. Tambin me interesa saber que la palabra Hacker tiene un significado muy curioso. En un articulo reciente se public que se nos conocan como piratas informticos. Es probable, pero creo que estn tremendamente equivocados. Quiero reivindicar mi posicin. Pero lo cierto es que cada vez que hablan de nosotros es para decir que hemos reventado el ordenador de tal multinacional con grandes perdidas o que hemos robado cierta informacin. Estas cosas suceden, y particularmente tengo que decir que estas cosas estn al alcance de otros personajes ms peligrosos que nosotros. En nuestro mundo habitan los crackers y los phreakers. Tambin estn los snickers y cada uno de ellos tiene su cometido, pero para la mayora todos somos iguales y todos somos piratas informticos. Pero quiero ir por pasos. Que te parece saber de donde procede la palabra Hacker?. En el origen de esta palabra esta el trmino Hack algo as como golpear con un hacha en ingles -, que se usaba como forma familiar para describir como los tcnicos telefnicos arreglaban las cajas defectuosas, asestndoles un golpe seco. Tambin mucha gente arregla el televisor dndole una palmada seca en el lateral. Quien hacia esto era un hacker. Otra historia relata como los primeros ordenadores grandes y defectuosos, se bloqueaban continuamente y fallaban. Los que las manejaban se devanaban los sesos creando rutas para aumentar la velocidad y cosas parecidas. Estas cosas se denominaban Hacks y a los que lo hacan se les llamaban Hackers. Otra denominacin se le hacia a aquel experto en cualquier campo que disfrutaba modificando el orden de funcionamiento del aparato. De esta forma siempre superaba las limitaciones y esto le produca una alta satisfaccin. A estas personas tambin se les llamaban Hackers. Pero pronto surgieron otros acrnimos como Crackers. Este acrnimo surgi all por el ao 1985, y fue inventado por los propios Hackers para diferenciar a aquel que
12
fisgaba en un ordenador con aquel que creaba un virus daino o copiaba un software. As, frente a un ordenador ajeno un Hacker y un Cracker no son la misma cosa. Por otro lado en algunas ocasiones un Hacker es muy til porque siempre detecta un agujero en cualquier programa nuevo. Esto es bueno para ponerlo en conocimiento de la empresa que ha creado el programa. El Cracker aprovechara este error para entrar en el programa y copiarlo. Aparte del Cracking existen otras formas de vandalismo tecnolgico. As, el Phreaking, por ejemplo es la manipulacin de las redes telefnicas para no pagar las llamadas. El Carding se refiere al uso ilegal de las tarjetas de crdito. Y el Trashing consiste en rastrear la basura o residuos de los sistemas informticos en busca de informacin como contraseas. Pero, volviendo a los Hackers. Cmo son? Que aspecto tienen?. Cuando alguien oye mencionar la palabra Hacker rpidamente se le viene a la cabeza un adolescente ojeroso, con los ojos inyectados en sangre que ha pasado las ultimas 24 horas delante del ordenador. Esta imagen esta estereotipada. No es as. Un Hacker puede ser cualquier estudiante de informtica, electrnica u otra persona, que sale con los amigos y que tiene novia. Un Hacker es una persona normal como tu. Los Hackers son casi siempre gente joven. Quizs somos los que ms nos interesamos por la tecnologa. Un Hacker normalmente despierta el gusanillo a temprana edad. Y no se hace de la noche a la maana. Cuando logra serlo despus de realizar un Hack, se busca un apodo y no da la cara por cuestin de seguridad. La gente todava no confa en nosotros y nos ven con ojos malos. Normalmente al final de todo somos contratados por empresas importantes para ayudarles en su trabajo. Y otra cosa que hacemos es contar como funciona la tecnologa que se nos oculta. Este mtodo se llama ensear y creo que no es nada malo. De modo que si un Hacker escribe un libro es porque tiene algo que ensear y nada mas. Bueno, creo que ya he escrito bastante. Son las doce y media de la noche y mis padres ya se han acostado. Maana tengo que madrugar. Y sobre todo quiero que quede buena constancia de lo que somos.
13
Cybor, Bangor Diciembre del 96 Maine " 4
3. ETICA HACKER:
La mentalidad de hacker no slo est en sta cultura ciberntica, existen personas que aplican la actitud de hacker a otras cosas, como electrnica o msica. Los hackers informticos reconocen estos espritus emparentados y los denominan hackers tambin y algunos sostienen que la naturaleza de hacker no tiene nada que ver con el medio en el que actan, slo necesitan de ese afn de superarse para ser mejores y as convertirse en hackers.
La mayora de los hackers siguen una filosofa y una tica que es ms o menos parecida en todos ellos. Por mi experiencia en el mundo de los ordenadores he elaborado unos principios que la mayora de los hackers siguen. En el mundo hacker la mayora de las personas son maestros que desean inculcar su cultura a las personas interesadas, y desean el libre acceso a la informacin, el acceso a los ordenadores y todo lo que pueda inculcar alguna enseanza sobre el funcionamiento del mundo y de s mismos, esta informacin debe ser ilimitada y total.
A. Toda informacin debe ser libre. La falta de libertad en la informacin y en las aplicaciones son un obstculo ms para la creatividad de estos genios informticos. Un ejemplo de esto es UNIX un sistema Operativo de libre distribucin, es el ms usado por los hackers y al mismo tiempo el ms confiable por que lo han hecho ellos mismos ayudados de otros hackers interesados.
http://www.elinflador.com.ar/hackercarta.html
14
B.
Desconfa
de
la
autoridad,
las
autoridades
promocionan
la
descentralizacin. Los burcratas y las grandes empresas o entidades gubernamentales que promocionan un sistema capitalista en la sociedad informtica. Ellos involucran algunas reglas que prohiben la libre informacin y el intercambio de ideas. Esto, primero fomenta errores en los archivos o sistemas ya que no cuentan con la ayuda necesaria como en los programas de libre distribucin, en los cuales cualquier persona da ideas para mejorarlo. Y segundo da una mala imagen a los hackers ya que su poltica es muy distinta a la poltica capitalista y consumista de nuestra sociedad. C. Los hackers deben ser juzgados por sus trabajos, no por criterios irrelevantes como ttulos, edad, raza, o posicin. En el submundo, como algunos lo llaman, las personas que se presentan con grandes ttulo y referencias impresionantes no son de mucha importancia, no importa la identidad de la persona, lo nico que importa para ser catalogado como un buen hacker son sus logros y sus creaciones. D. Por ltimo, aunque esta sociedad se pueda denominar anarquista en algunos casos, ellos respetan las reglas de los dems. Aunque para ellos las normas y las barreras les resulta una molestia, respetan la forma de pensar de cualquier persona, y por eso cumplen sus reglas cuando entran en propiedad ajena.
4. MONARQUIA HACKER:
Este submundo es una comunidad muy grande, que como todas las comunidades y sociedades esta dividido en varios grupos. Existen los gurs que comnmente son personas con gran experiencia y son gente mayor, estas personas son los maestros de los dems hackers y lammers. Es el maestro a
15
quien recurre el Hacker cuando tienen algn problema, y se dice posee conocimientos mas all de la comprensin de un simple mortal. 5
Despus de ellos siguen los hackers los cuales son muy apegados a los gurs, la diferencia es que la mayora de los hackers se especializan en un solo campo como la programacin, la cryptologa, etc. Y en este mismo nivel tambin se encuentran los phreakers, que son los especializados en lneas telefnicas y redes de telfonos. Por ultimo estn los newbies que son lo que quieren llegar a ser alguien en esta sociedad. Esta es la monarqua del submundo, pero no todo acaba aqu, tambin estn los malos y los que creen estar en ella. En este grupo estn los lammers, los crackers, los script kiddies, los bucaneros, y los copy hackers.
5. PHREAKING
La tercera parte importante de este submundo son los phreakers, adems de los hackers y los crackers. Ellos son los crackers dedicados a la piratera de telecomunicaciones, celulares, telfonos, etc. Es el arte y la ciencia de irrumpir la red de telfono, la palabra phreaker viene de free (gratis) y hacker. 1. En un tiempo el phreaking era una actividad semi-respetable entre hackers; haba el acuerdo de un caballero del phreaking como un juego intelectual y forma de exploracin era aceptable, pero el hurto serio de servicios era tab. Haba un cruce significativo entre la comunidad de los hackers y los phreakers de telfono Quien manejaba redes semi-cubiertas de su propia creacin con medios tan legendarias como lo es el del GOLPECITO. Este ethos comenz a mediados de los aos ochenta mientras que una difusin ms amplia de las tcnicas se puso en las manos de los phreakers menos responsables.
5
http://www.paralax.com.mx/antivirus/ar03-hackersyvirus.html
16
Alrededor de la misma poca, los cambios en la red de telfono haba hecho a la ingeniosa la tcnica del viejo estilo menos eficaz como manera de cortar la conexin, as que el phreaking vino a depender ms de actos abiertamente criminales tales como nmeros de tarjetas telefnicas robadas. Los crmenes y los castigos de cuadrillas, como el grupo "414" que ha vuelto este juego muy feo. Lo ms actual de lo que se ha odo hablar es de las cajas azules, o de otros colores segn su preferencia. 6
Estas cajas, como la caja azul, son el mtodo de ataque ms comn de los phreaker, ellas son usadas para cambiar la frecuencia de los telfonos para lograr diferentes objetivos. En la actualidad existen infinidad de cajas con sus diferentes aplicaciones y mtodos de uso.
5.1.
HISTORIA DEL PHREAKING
El Phreaking empez en los inicios de la dcada de los 60 cuando un tal Mark Bernay descubri como aprovechar un error de seguridad de Bell (compaa telefnica fundada por Alexander Graham Bell). Este error se basaba en la utilizacin de los mecanismos loop-arround-pairs como va para realizar llamadas gratuitas.
Lo que Bernay descubri, fue que dentro de Bell existan unos nmeros de prueba que servan para que los operarios comprobaran las conexiones. Estos nmeros solan ser dos y consecutivos, y estaban enlazados de tal manera que si se llamaba a uno este conectaba con el otro. As pues si alguien en EEUU marcaba una serie de estos nmeros de prueba consecutivos podra hablar gratuitamente.
http://catb.org/~esr/jargon/html/P/phreaking.html
17
Este descubrimiento fue potenciado sobre todo por los jvenes de aquel entonces, los cuales solo lo utilizaban con el fin de ahorrase dinero a la hora de hablar con sus amigos. Pero la cosa cambio cuando cierto nmero de estos descubri que Bell era un Universo sin explorar y al que se le podra sacar ms partido que el de unas simples llamadas gratuitas. As pues de los rudimentarios loop-arround-pairs se paso a la utilizacin de ciertos aparatos electrnicos, los cuales son conocidos ahora como boxes (cajas). La primera box que se encontr fue hallada en 1961 en el Washington State College, y era un aparato con una carcasa metlica que estaba conectada al telfono... automticamente fue llamada Blue Box (caja azul).7
Todo comenz con esta falla de seguridad, y con la clsica "caja azul", despus de esto el phreaking fue evolucionando y destruyendo las fallas de seguridad de los nuevos sistemas telefnicos. La mayora de estas personas operan es cabinas telefnicas por seguridad, pero otras se emprenden en la aventura de realizar la piratera telefnica desde sus casas. Esta es una de las formas mas avanzadas de pirateo, no existe algn tipo de seguridad no haya sido explotado por los phreakers, y por eso uno de los mtodos de piratera mas conocido en el submundo.
6. CRACKERS
En esta comunidad tampoco hacen falta los malos, los Crackers, que muy a menudo son confundidos con los hackers. La actividad cracker, o cracking, es mejor conocida como ingeniera inversa, la ingeniera inversa esta basada en quitar, remover o suspender uno o varios temas que protegen a alguna aplicacin que por lo general son comerciales. El cracking es la ciencia que estudia la seguridad de sistemas de proteccin tanto de software como de
7
http://mundo-libre.org/phreaking/phreaking.htm
18
hardware con el objetivo de violarlos. Tambin Podemos definirlo de forma ms generalizada como la accin que consiste en la modificacin total o parcial de sistemas mediante alguna tcnica especfica. El principal objetivo de un cracker es violar la seguridad de los sistemas, y la mayora de veces con fines malficos, conseguir informacin y venderla, o usar los programas de otros de forma no autorizada.
En la actualidad es habitual ver como se muestran los Cracks de la mayora de Software de forma gratuita a travs de Internet. El motivo de que estos Cracks formen parte de la red es por que los programadores o las empresas comercializan sus productos en toda la red.
Un cracker se encarga de crear sus propios programas para burlar la seguridad de pginas Web o aplicaciones, al igual que los hackers las publican en Internet pero, con el objetivo de ser reconocidos por la sociedad, y tambin apoyar la campaa de software libre. 8
6.1.
FORMAS DE CRASHING
El crashing es la tcnica que utilizan los crackers para irrumpir en la seguridad de un programa. Sus principales hazaas se basan en esto, violar las distintas formas de seguridad de los programas comerciales. Pero no solo se trata de programas, el crashing es en si irrumpir en la seguridad de algo, bien pueden ser paginas de Internet, sistemas remotos, servidores, etc. Este termino es principalmente usado en el submundo, pero tambin se usas para otras aplicaciones. Los ladrones de cajas fuertes, cuando irrumpen en ella se le llama crashing, este es un ejemplo sencillo que sirve para explicar el uso de esta palabra. Los crackers principalmente utilizan esta tcnica para violar la
Morrison, William. Crackers on the web. Editorial gray star 1994
19
seguridad de algunas cosas y utilizan tcnicas diferentes que sern nombradas en el segundo capitulo.9
Pero ellos no solo actan con los programas y las pginas Web, la mayora de ellos se involucran con los ISP (los proveedores de servicio a Internet) como las conexiones por cable o digitales. Su objetivo con esto es conseguir servicio a Internet gratuito. Tambin con la televisin por cable, ellos piratean la lnea y as consiguen gratis el servicio de televisin.
7. COPY HACKERS
El cuarto tipo de personas en la red son las que se denominan "copy hackers". Estas son personas muy ligadas al hacking pero con la excepcin de que solo se interesan en el hardware y el cracking de hardware, mayoritariamente del sector de tarjetas inteligentes empleadas en sistemas de telefona celular. Muchas personas confunden a estos como plagiadores que consiguen programas hechos por otros y los venden como suyos. A este grupo se le conoce como el cuarto eslabn de la red, despus de los hackers, crackers y los phreakers.10
8. NEWBIES
Los newbies son otra raza de personas que apenas estn entrando en este mundo, a ellos no se les puede nombrar como algo importante en la red, pero ellos son el futuro de esta. Los newbies como ya lo dije antes son personas nuevas en este mundo, lo que ellos quieren es aprender a ser hackers, a igualarse a los grandes Gurus de la historia. Normalmente ellos no son el tipo de personas que prueban cualquier aplicacin sin saber, ellos primero leen y aprenden la parte terica para as poder continuar.
9
Son personas muy
KRaViTZ , INTRODUCCION AL CRACKING
20
dedicadas y con mucho empeo en lo que hacen. El problema de ellos es que muchos se desvan y llegan a convertirse en lammers o crackers.
9. LA ESCORIA DE LA RED
Estos son los principales grupos de personas que se pueden encontrar en la ciber sociedad. Cada uno tiene sus caractersticas y tcnicas que los diferencian, pero no son solo las tcnicas lo que los diferencian, estas son las personas que no son muy agradables y tampoco bienvenidas en el submundo. Existen 3 tipos de estas personas, los bucaneros, los script kiddies, y por ultimo los lammers.
9.1.
Script kiddies
Los script kiddies son aquellas personas que quieren conseguir todos los programas y leer todos los artculos relacionados con el hacking o el cracking. Ellos utilizan estos programas con el propsito de probar todo lo nuevo que ha salido en la red. El uso inadecuado de estas herramientas puede causar daos
irreparables en la red o en los ordenadores de otros usuarios, pueden llegar a soltar un virus en la red o daarse a si mismos, pero lo hacen inocentemente ya que no saben especficamente para que sirven. Ellos tambin leen todo lo que se les pasa por los ojos, normalmente no entienden lo que dice pero aun as los leen.
9.2.
Bucaneros
Los bucaneros son las personas que no tienen ni idea de lo que es el hacking o cualquier otro arte de la ciber sociedad, y la
10
http://www.umanizales.edu.co/encuentrohackers/m_copyhacker.htm
21
mayora no sabe como utiliza un computador, lo que ellos hacen es vender informacin o programas hechos por hackers o crackers.
9.3.
Lammers
Por ultimo los lammers. Estos son los que ms se escuchan y los que ms se ven ya que en l est el mayor nmero de personas. Un Lammer es simple y sencillamente un tonto de la informtica, una persona que se siente "Hacker" por haber bajado el troyano de moda, alguien a quien le guste bajar virus de la red e instalarlos en la PC de sus amigos. Por haber manejado un programa de cracking creado por otros, el lammer ya piensa que es un hacker experto, ellos solo le dicen a todas las personas que son hackers y que son expertos en informtica y divulgan sus actos criminales por la red y con sus amigos. Ellos se crean su propia fama y no tienen la menor idea de lo que es ser hacker. Aunque tengan algn conocimiento sobre computadores ellos ms bien podra llamrseles como Crackers de psima calidad. En general alguien que cree que tiene muchos conocimientos de informtica y programacin, pero en realidad no tiene ni la ms mnima idea de ello. 11
10.
ACTIVIDADES EN EL SUBMUNDO VIRII
10.1.
Uno de los mtodos ms comunes de la piratera informtica son los virus. Este no tiene algn tipo de personas que se especifique en l, pero por lo general es
11
http://www.informaticahispana.com/~hackedplanet/def_lammer.htm
22
estudiado por los hackers y los crackers. Ya muchos conocemos el trmino de "virus" o "virii" pero no muchos sabemos lo que verdaderamente son. La palabra "virus informtico" viene de los virus biolgicos que infectan a la persona hasta acabarla. Los primeros virus se replicaban hasta sobre cargar el sistema, as como los biolgicos que se reproducen y poco a poco van daando el cuerpo humano. Un virus en simplemente un programa. Una secuencia de instrucciones y rutinas creadas con el nico objetivo de alterar el correcto funcionamiento del sistema y, en la inmensa mayora de los casos, corromper o destruir parte o la totalidad de los datos almacenados en el disco. De todas formas, dentro del trmino "virus informtico" se suelen englobar varios tipos de programas. Existen varios tipos de virus usados por los crackers los cuales describiremos mas adelante.12
10.2.
CRYPTOGRAFIA
La cryptografia es otra etapa de gran importancia usada por los hackers. Esto consiste en cifrar un mensaje o un archivo en base a diferentes algoritmo para hacerlo ilegible para otras personas, es el mtodo usado para esconder mensajes, o hasta seales de televisin. La cryptografia comenz con los espartanos en el ao 400 a.C., la primera forma de clave para encubrir mensajes secretos fue la Scitala, que puede considerarse el primer sistema de cryptografa por transposicin, es decir, que se caracteriza por enmascarar el significado real de un texto alterando el orden de los signos que lo conforman. Los militares de la ciudad griega escriban sus mensajes sobre una tela que envolva una vara. El mensaje slo poda leerse cuando se enrollaba sobre un bastn del mismo grosor, que posea el destinatario lcito. El mtodo de la scitala era extremadamente sencillo, como tambin lo era el que instituy Julio Csar, basado en la sustitucin de cada letra por la que ocupa tres puestos ms all en el alfabeto.
12
http://www.monografias.com/trabajos/virus/virus.shtml
23
En los escritos medievales sorprenden trminos como Xilef o Thfpfklbctxx. Para esconder sus nombres, los copistas empleaban el alfabeto zodiacal, formaban anagramas alterando el orden de las letras (es el caso de Xilef, anagrama de Flix) o recurran a un mtodo denominado fuga de vocales, en el que stas se sustituan por puntos o por consonantes arbitrarias (Thfpfklbctxx por Theoflactus). 13 .
10.3.
PROGRAMACION
Otra parte importante del hacking es la programacin. El crear programas por ellos mismos es muy importante para poder alcanzar sus exigencias. La programacin se ah hecho una de las ramas ms importantes para los hackers, ya que sus necesidades son muy amplias y las tienen que suplir de alguna forma. La programacin libre ah evolucionado el mundo de los computadores ya que cada persona puede ser capaz de crear sus propios programas y as cubrir las necesidades de todos con nuevas ideas. La primera forma de programacin fue en lenguaje binario o lenguaje de maquina, este lenguaje consiste en 1 y 0 (prendido y apagado) para mandarle diferentes tipos de voltaje a la maquina y as cumplir una orden.
Ahora con la creacin de los lenguajes de programacin, el programador puede crear algoritmos ms complejos y extensos por la facilidad de uso de estos. Pero estos nuevos lenguajes de programacin no son tan novedosos como parecen ya que ellos utilizan un compilador que pasa las ordenes escritas a 0 y 1, para que el computador las pueda leer, en si la forma de programar un sistema no se ha hecho un gran cambio, solo se facilito su usos para los usuarios.
10.4.
13
INGENIERIA SOCIAL
http://rinconquevedo.iespana.es/rinconquevedo/Criptografia/clasicos.htm
24
Este mtodo es el nico que no requiere especficamente de habilidades informticas. La ingeniera social es uno de los mtodos ms usados para conseguir acceso a otros ordenadores o cuentas de correo electrnico. Este mtodo se encarga de engaar con artilugios o tcnicas aparentemente amigables a los usuarios y as conseguir su confianza para poder conseguir informacin confidencial. La formas ms segura y sencilla de hacer cracking es esta, pues solo necesita de un poco de ingenio para que salga adelante esta tcnica.
10.5.
TUNNELING
Otra tcnica importante de este submundo es el tunneling, este es un mtodo de infiltracin que sirve para infiltrar los virus a los ordenadores sin ser detectados por el anti-virus u otro tipo de seguridad. El tunneling apunta a proteger al virus de los mdulos residentes de los anti-virus, que monitora todo lo que sucede en la maquina para interceptar todas las actividades "tpicas" de los virus. Para entender como funciona esta tcnica, basta saber como trabaja este tipo de anti-virus. El modulo residente queda colgado de todas las interrupciones usualmente usadas por los virus (INT 21, INT 13, y a veces INT 25 Y 26) y entonces cuando el virus intenta llamar a INT 21, por ejemplo, para abrir un ejecutable para lectura/escritura (y luego infectarlo), el anti-virus chilla, pues los ejecutables no son normalmente abiertos, ni menos para escritura.14
10.6.
CARDING
14
http://www.geocities.com/SiliconValley/Sector/5353/textos.htm
25
El carding es el nico mtodo de este submundo que no requiere especficamente de un ordenador. Este mtodo consiste en el robo de tarjetas de crdito y otro tipo de "dinero plstico". El carding consiste en obtener y manipular el uso legitimo de las tarjetas de crdito ajenas para conseguir el dinero de una de estas tarjetas de crdito o cuentas bancarias ajenas, o tan solo manipular sus nmeros. Normalmente el cracker no dispone del dinero ajeno con el que compra las cosas, sino lo que hace es comprar a travs de Internet y hacer que se lo enven a una direccin cercana que no lo relacione directamente con la compra (o por lo menos eso sera lo inteligente). Bsicamente es muy fcil lograr comprar con una tarjeta ajena por Internet solamente hay que ser observador e intentar descifrar el sistema que se sigue para generar los nmeros de las tarjetas de crdito y te dars cuenta de que cada tarjeta de cada banco obedecen a un algoritmo que puede facilitarte las cosas de forma considerable una vez descifrado (lo cual no ofrece demasiada dificultad ya que en la red encontraras miles de generadores de tarjetas de crdito). Esta tcnica esta muy ligada con el cracking, ya que utiliza alguna de sus tcnicas para conseguir los nmeros de cuentas bancarias.15
11.
HACKERS FAMOSOS Robert Morris
11.1.
El 2 de Noviembre de 1988 Robert Tappan Morris, hijo de uno de los precursores de los virus y recin graduado en Computer Science en la
Universidad de Cornell, difundi un virus a travs de ArpaNet, (precursora de Internet) logrando infectar 6,000 servidores conectados a la red. La
propagacin la realiz desde uno de los terminales del MIT (Instituto Tecnolgico de Massachusetts).
15
http://tatooine.fortunecity.com/tharg/95/hpvc.html
26
Cabe mencionar que el ArpaNet empleaba el UNIX, como sistema operativo. Robert Tappan Morris al ser descubierto, fue enjuiciado y condenado en la corte de Syracuse, estado de Nueva York, a 4 aos de prisin y el pago de US $ 10,000 de multa, pena que fue conmutada a libertad bajo palabra y condenado a cumplir 400 horas de trabajo comunitario.16
11.2.
Steve Wozniak
Naci en agosto 22 de 1950 Microcomputer for Use with Video Display Personal Computer Patent Number(s) 4,136,359 Inducted 2000 Ordenador personal de Apple II de Wozniak - introducido en 1977 y ofrecer una unidad central de proceso (CPU), el teclado, la impulsin de diskette y una etiqueta de precio $1.300 - lanzamiento ayudado la industria de loos ordenadores. En el ao de 1980, apenas los poco ms de cuatro aos despus de ser fundada, Apple se convirti en un sistema pblico. El impacto de la invencin ayudo al lanzamiento de la industria de los ordenadores.
Biografa del inventor
Toda su vida, Steve Wozniak ah amado los proyectos que lo hacen pensar. En el sexto grado, l construy su propia estacin de radio aficionada y gan una licencia de la jam' on radio. En la edad 13, l construy su primera computadora, y en la secundaria, l era presidente del club de la electrnica. Despus de graduar de la secundaria Homestead (California) en 1968, Wozniak atendi a la universidad de California-Berkeley.a mediados de 1970 el diseo chips de calculadora para Hewlett packard. Despus en 1976, Wozniak
16
http://www.perantivirus.com/sosvirus/hacke rs/morris.htm
27
y Steve jobs, tambin un graduado de la universidad de Homestead, fundaron computadoras Apple, inc. con la computadora de Apple I. La compaa, comenzada como operacin de dos personas trabajando en un garaje, vino a ser una compaa de $500-million-por ao en seis aos. Wozniak dejo Apple en 1981, fue de nuevo a Berkeley y acab su grado en ciencia elctrica en ingeniera y computacin. Desde entonces, l ha estado implicado en vario negocio y las empresas filantrpicas, centrndose sobre todo en capacidades de la computadora en escuelas, incluyendo una iniciativa en 1990 para colocar las computadoras en escuelas en la Union Sovietica. La creencia fuerte de Wozniak en la educacin lo ha incitado donar las computadoras e incluso los laboratorios enteros de la computadora a las escuelas; los servidores y el Internet tienen acceso a los estudiantes; computadoras porttiles para los estudiantes y entrenamiento de computadores para los profesores y los estudiantes. El tiempo de Wozniak ahora es dedicado sobre todo a sus propios intereses. Su creencia en aprender con manos y en el pensamiento libre y la creatividad que animan en jvenes contina siendo su fuerza impulsora.17
11.3.
Vladimir Levin
Un graduado en matemticas de la Universidad Tecnolgica de San Petesburgo, Rusia, fue acusado de ser la mente maestra de una serie de fraudes tecnolgicos que le permitieron a l y la banda que conformaba, substraer ms de 10 millones de dlares, de cuentas corporativas del Citybank. En 1995 fue arrestado por la Interpol, en el aeropuerto de Heathrow, Inglaterra, y luego extraditado a los Estados Unidos. Las investigaciones establecieron que desde su computadora instalada en la empresa AO Saturn, de San Petersburgo, donde trabajaba, Levin irrumpi en las cuentas del Citybank de New York y transfiri los fondos a cuentas abiertas en Finlandia, Israel y en el Bank of America de San Francisco.
17
http://www.invent.org/hall_of_fame/155.html
28
Ante las evidencias y manifestaciones de sus co-inculpados, Vladimir Levin se declar culpable. Uno de sus cmplices, Alexei Lashmanov, de 28 aos, en Agosto de 1994 haba hecho alarde entre sus conocidos, en San Petersburgo, acerca de sus abultadas cuentas bancarias personales en Tel Aviv, Israel. Estos conspiradores haban obtenido accesos no autorizados al Sistema de Administracin de Dinero en Efectivo del Citybank (The Citybank Cash Management System), en Parsipanny, New Jersey, el cual permite a sus clientes acceder a una red de computadoras y transferir fondos a cuentas de otras instituciones financieras, habiendo realizado un total de 40 transferencias ilegales de dinero. Lashmanov admiti que l y sus cmplices haba transferido dinero a cinco cuentas en bancos de Tel Aviv. Incluso trat de retirar en una sola transaccin US $ 940,000 en efectivo de estas cuentas. Otros tres cmplices, entre ellos una mujer, tambin se declararon culpables. Esta ltima fue descubierta "in fragante" cuando intentaba retirar dinero de una cuenta de un banco de San Francisco. Se estima en un total de 10.7 millones de dlares el monto substrado por esta banda. Las investigaciones y el proceso tuvieron muchas implicancias que no pudieron ser aclaradas ni siquiera por los responsables de la seguridad del sistema de Administracin de Dinero en Efectivo, del propio Citybank. Jams se descart la sospecha de participacin de ms de un empleado del propio banco. A pesar de que la banda substrajo ms de 10 millones de dlares al Citybank, Levin fue sentenciado a 3 aos de prisin y a pagar la suma de US $ 240,015 a favor del Citybank, ya que las compaas de seguros haban cubierto los montos de las corporaciones agraviadas. Los tcnicos tuvieron que mejorar sus sistemas de seguridad contra "crackers" y Vladimir Levin ahora se encuentra en libertad.18
18
http://www.perantivirus.com/sosvirus/hackers/levin.htm
29
11.4.
Genocide
Todo empez cuando l era joven, a diferencia de los dems hackers de la red, l no dispona de un ordenador, ni siquiera de servicios pblicos, y viva en una cabaa de madera de 6 por 6 en los bosques de Alaska. Genocide nunca mostr inters por las materias que aprenda en la escuela, excepto por los equipos informticos. El se sentaba horas delante de los ordenadores de la escuela y as consigui gran habilidad para proporcionar caos en las redes de su escuela. Dos aos mas tarde su primo, un bandalo reconocido, le enseo algo de ingeniera social y phreaking, aunque dej todo esto despus de la captura de su primo y sus amigos. Su primera hazaa como hacker fue en la red escolar al cambiar sus notas de qumica. Cuando su mama empez sus clases universitarias, Genocide aprovechaba para instalarse en la red y as aprender mas sobre ordenadores y conocer verdaderos hackers. As se formo un grupo de 5 amigos, WIZDom, Astroboy, Alexu, Malcom y Genocide que como la mayora de los hackers crean que la informacin debera ser libre para el pblico. As fundaron su primera comunidad a la que llamaron hacker 2600.Cuando su comunidad se hizo ms grande cambiaron su nombre por genocide2600, y la comunidad sigui creciendo hasta que la universidad local les pidi que la retiraran de su red, pero ese no era problema para el, as que decidi esconderla mucho ms. Este grupo se volvi vital en el submundo ya que tenia archivos y comandos que nadie tenia. Sus reuniones nocturnas tambin continuaron, peor ahora con mas personas que asistan a ella, los integrantes del grupo nunca discutan nada ilegal, ya que el grupo era muy grande y las reuniones eran en las instalaciones de la universidad y con el auspicio de esta. Hasta que un da un funcionario gubernamental llego hasta esa reunin y acuso a Genocide por la intrucin al servidor "luna". Mucho despus la universidad congel la cuenta de Genocide mientras se hacia la investigacin de su caso, pero no haba nada que lo pudiera relacionar con esto. Desde ah el grupo se empez a derrumbar, pero todava segua en pie. Genocide se fue a vivir a Oregon con un trabajo en seguridad informtica, y el
30
grupo creci mucho ms, pero ahora con warez (copias ilegales de programas) y nmeros de serie. As el FBI sigui tras la pista del, pero ahora con otra meta, tenerlo de su lado. Genocide rechazo la oferta y sigui con su grupo hasta el momento.19
11.5.
Kevin Mitnick, El Chacal de la Red
Hijo de padres divorciados de clase media baja, Kevin Mitnick naci en 1965 en Los ngeles. Cuando tena tan slo 17 aos dio su primer gran golpe como "phone phreaker" (hackers que atacan las redes telefnicas), cuando rob manuales de la telefnica Pacific Bell y penetr en las redes de una empresa llamada Microport Systems. Mitnick fue descubierto, juzgado y declarado culpable, pero su corta edad impidi que termine en la crcel.
En 1989 llegaron las primeras condenas efectivas por fraude informtico. El hacker fue obligado a pasar un ao tras las rejas de una prisin de mnima seguridad, luego de introducirse en las centrales de la telefnica MCI World Com y obtener en forma ilegtima cdigos para realizar llamadas de larga distancia. Ese mismo ao, la empresa Digital Equipment acusa Mitnick de ocasionar daos en sus sistemas por una suma millonaria. Mitnick sali en libertad, pero las cosas no cambiaron mucho. Durante los 5 aos siguientes, Kevin se cans de jugar al gato y al ratn con empresas, policas, expertos en seguridad informtica y hasta el propio FBI.
En noviembre de 1992, el FBI trat de detenerlo nuevamente por ingresar ilegalmente en la computadora de una compaa telefnica, pero mediante una espectacular fuga Mitnick logr escapar. Desde la clandestinidad, el pirata
19
Diario de un hacker. Confesiones de hackers adolescentes Dan Verton Mc Graw Hill, 1999
31
informtico continu invadiendo y hackeando todas las redes que encontraba a su paso, mientras empresas de la talla de Sun Microsystems, Novell, y Motorola, entre otras, acusaban al hacker fugitivo de causarles millones de dlares en prdidas. El principio del fin
Dos aos ms tarde, Mitnick descubre que si consigue un mtodo para hackear redes telefnicas desde un telfono celular sera prcticamente imposible descubrirlo. Para obtener la informacin clasificada sobre cmo estaban montadas las redes telefnicas inalmbricas, Mitnick invadi la computadora personal de Tsutomu Shimomura, un especialista japons en seguridad informtica que trabajaba para Netcom On-Line Communications Services. Mitnick obtuvo la informacin y puso en ridculo a Shimomura frente a la comunidad cientfica norteamericana. Aquel incidente hizo que Shimomura tomara la captura del superhacker como una cuestin estrictamente personal. El "hacker bueno" emprendi una cruzada para encontrar a Mitnick que incluy varios viajes por todo Estados Unidos. .
Finalmente, el 15 de febrero de 1995 y gracias a la dedicacin personal de Shimomura en la causa, el FBI logra apresar a Mitnick. A partir de ese da Mitnick permaneci tras las rejas hasta hoy, da de su liberacin. Durante su estada en prisin se forj el mito de "Free Kevin", tanto en el underground informtico como en las tapas de peridicos como el New York Times. El polmico juicio
Aquellos que creyeron que con la captura de Mitnick se acabaran los dolores de cabeza se equivocaron. El proceso de Mitnick estuvo plagado de polmicas legales, empezando porque el hacker pas encerrado ms de cuatro aos sin pasar por un juicio ni recibir sentencia, lo que provoc la ira de la comunidad hacker y de varias organizaciones defensoras de los derechos humanos.
32
A mediados de 1999 Mitnick acept firmar un documento en el que se declaraba culpable de los cargos de cracking (violacin de redes informticas) reiterado. Mediante el acuerdo, firmado un mes antes del inicio del juicio, Mitnick evitaba pasar por el banquillo de los acusados y aceptaba una sentencia que le dara la libertad el ao 2000. La libertad
El 20 de diciembre de 200 y tras cinco aos tras las rejas, Mitnick recuper la libertad pero no tena permiso oficial para acercarse a un ordenador. El hacker abandon la prisin con los tapones de punta y ese mismo da emiti un comunicado asegur que "Los fiscales manipularon todo el juicio.
Con el tiempo., Mitnick obtuvo permiso para acercarse a un ordenador y hasta para navegar por la Web. Para ese entonces, su fama haba crecido tanto que ese instante fue reproducido por varias cadenas de televisin norteamericanas.20
11.6.
Mafia Boy
Un joven provocativo y travieso de catorce aos que viva en Montreal donde se convirti en un cracker informtico. Su primer Ataque fue a una pequea ISP en estados unidos llamada outlawnet, y desde ah mafia boy empez a ser investigado por las autoridades, pero este caso ya no era tan importante. Liderando una larga investigacin sobre ataques hacker a la OTAN, el FBI se infiltro en el submundo. En una de sus bsquedas por hackers en una de las salas de chat de IRC, Swallow, uno de los agentes infiltrados del FBI, se encontr con un molesto chico que se apodaba Mafia Boy. Este chico pareca
20
_^SIAKO^_, El Chacal de la Red. www.elhacker.net
33
un vulgar skript kiddie en la sala de chat, hasta que, despus de cansarse de las farsas de Mafia Boy, le propusieron un reto hacker, atacar a CNN, Yahoo y a E-Trade. El agente del FBI se enter de varios ataques hacker contra estas empresas y emprendi su bsqueda para encontrar a Mafia Boy. Muchos ataques hacker resultaron despus de este que bloquearon a la mayora de empresas de Internet. Despus de volverse a encontrar a mafia boy en una de las salas de IRC, los federales se dieron cuenta que mafia boy no era un simple lammer, l era un hacker. Los federales sospecharon de su ubicacin en algn lugar de Montreal, donde se dio inicio a una ardua investigacin a la cual llamaron operacin "claymore". La primera pista que obtuvieron fueron tres cuentas de correo electrnico con el nombre de Mafia Boy en los sistemas de Delphi supernet y Totalnet. Los archivos del caso de Outlawnet, coincidan con algunos de los ataques de Mafia Boy. La poca experiencia de Mafia Boy llev a los investigadores a seguirle la pista mas de cerca, el 15 de abril del 2000 los federales hicieron una incursin a la casa de Mafia Boy donde fue arrestado. En el juzgado Mafia Boy se declaro culpable y fue sentenciado a ocho meses en la crcel de menores y se le prohibi hablar por Internet y conseguir programas no comerciales.21
21
34
Capitulo 2 (Mtodos de ataque)
12.
INTRODUCCION
Los ataques en la red son muy comunes hoy en da, esto lo podemos ver con la alteracin de los muchos usuarios cuando llega un nuevo virus, o cuando dicen que alguien esta atacando los sistemas de mensajera mas comunes (msn messenger y yahoo messenger). Mucha gente esta alerta de esto, y los sistemas de proteccin siempre tienen que estar al tanto de la situacin. Existe mucha gente en la red que lo hace por ganar popularidad o solo con el objetivo de molestar al amigo que les quito la novia, pero detrs de todo esto existen otras razones, como el libre comercio y la libre difusin de la informacin. La mayora de loa crackers y hackers ms populares siguen un movimiento iniciado por los sistemas GNU, los cuales siguen una licencia llamada GPL (general public licence). Esta licencia es la licencia que manejan los creadores de software gratuitos, con el fin de distribuir sus creaciones de forma gratuita, como linux, UNIX y apple, en la red sin tener problemas. Para muchos esta licencia se ha convertido en una ideologa y una forma de vida que muchos navegantes de la red siguen con pasin. Ellos desean la libre distribucin de la informacin, y la eliminacin del comercio en Internet, por eso apoyan a los creadores del software gratuito y se empean en derrochar a las grandes empresas que comercian con esta, como Microsoft. Esta "ideologa" a llegado a tal punto que formo a los hackers malos, con cierta perspectiva que con sus habilidades en los ordenadores se empean en destruir a las compaas comerciantes como Microsoft para que dejen los cdigos de fuente de sus programas de forma gratuita en la red, y as pueda ser modificada para beneficio de ellos o los dems cibernautas. Como podemos ver para los sistemas que siguen esta licencia los virus y las aplicaciones destructivas son
35
muy pocas, pero para los sistemas comerciales existe una gran variedad de aplicaciones dainas, con el fin de convencer a estas grandes compaas de distribuir sus creaciones de forma gratuita. La informacin es un derecho que estas personas desean hacer cumplir. Otro ejemplo son los video juegos, aproximadamente el 80% de estos se encuentran de forma gratuita en la red, ya que los crackers han hecho vulnerables los sistemas de seguridad de estas aplicaciones para que as puedan ser usados por todas las personas.
Estas protestas no solo se ven en la red, en estados unidos y en los pases ms desarrollados se pueden ver constantemente huelgas en las calles para que la informacin en la red sea libre. Los hackers difunden panfletos y crean propaganda en distintos sitios populares. Tambin muchas compaas como linux apoyan este movimiento poniendo en su software propaganda para esta causa.
13.
CRASHING
Este termino viene de la palabra crash, es decir, estrellar en ingles. Principalmente lo que pretende esta tcnica es estrellar los sistemas de seguridad de distintas aplicaciones para as poder ser accesibles por cualquier usuario. Ya en el primer capitulo dimos un ejemplo de que es el crashing, y ahora nos adentraremos en el tema. Principalmente lo que busca el cracker es violar la seguridad de las aplicaciones e intenta violar diferentes tipos de seguridad:
13.1.
Tiempo de uso limitado:
El programa puede caducar despus de un perodo de tiempo determinado por el programador desde la fecha de instalacin si no se registra el programa. Se suele limitar a minutos, horas, das y meses. Cualquier programa que use ese tipo de seguridad por lo general guarda el registro de la hora de su creacin en registros y algunos
36
archivos del sistema. Un problema grande que tienen este tipo de seguridad es que la fecha actual del sistema depende enteramente del usuario, este puede tener control sobre la fecha del sistema y por lo tanto se vuelve muy vulnerable el programa. Para esto se hizo un nuevo mtodo, usar la fecha de algunos registros del sistema, aunque esto implica mas trabajo para los crackers, es muy vulnerable este tipo de defensas.
13.2.
Cantidad
de
ejecuciones
limitadas:
El programa caduca luego de haberlo ejecutado una cantidad determinada de veces despus de su instalacin si no se registra, este registro muy probablemente es guardado en el registro del sistema.
13.3.
Nmeros de serie:
Esto es lo ms comn encontrar, existen de dos tipos, nmeros de serie fijos o variables, ste ultimo se genera en la mayora de los casos sobre la base de algo, como por ejemplo en funcin del nombre de usuario, organizacin, etc. de esta manera se consigue un serial diferente y nico para cada cliente o usuario. Pero tambin se suelen generar en funcin al nombre de la PC, del nmero de serie de disco o de algn otro componente del equipo. Y por ltimo tenemos los nmeros aleatorios, stos son los ms difciles de crackear ya que dependen de una clave o un algoritmo hecho por el creador del software, es este caso el cracker tendra 2 retos, el primero es encontrar la clave, y el segundo consiste en descifrar el algoritmo de cifrado.
13.4.
Mensajes molestos y nags:
Esto tambin es bastante comn, son ventanas que pueden aparecer al inicio del programa o al final, o en alguna accin por parte del usuario en donde informa que se encuentra ante una copia no registrada o
37
algn otro mensaje relacionado a la proteccin. Estos mensajes desaparecen al registrar.
13.5.
Funciones deshabilitadas:
Esto le da a un shareware una esencia de que est ante un Demo pero no lo es en absoluto, generalmente deshabilitan funciones importantes de la aplicacin, como por ejemplo: abrir, guardar, importar, exportar, imprimir, grabar, etc. Cuando registramos se habilitan todas.
13.6.
CD-ROM:
Esta es la ms usada por los videos juegos. Debemos insertar el disco para poder jugarlos. A veces hay juegos que estn completamente instalados en el disco rgido pero nada ms por seguridad nos piden el CD, otros realmente requieren archivos del mismo para su
funcionamiento. Este mtodo puede funcionar de varias formas para comprobar la presencia del cd. 1) comprobar la etiqueta del cd 2) comprobar el espacio libre que hay en este 3) comprobar algunos archivos que son eliminados con frecuencia (por ejemplo en mitad de un juego de puede eliminar un fichero que solo puede restaurarse con el cd).
13.6.1.
Proteccin contra la copia del CD
Estos mtodos de proteccin son muy vistos, la idea de esto es proteger de distintas formas los CDs para que no puedan ser copiados por los crackers, las formas ms comunes son las siguientes: 1) Deterioro del CD: Deteriorar fsicamente el CD para que no pueda ser copiado con claridad, la copia de estos sera muy difcil ya que los mejores quemadores no son capaces de quemarlo con
38
precisin, igual esto tambin implica un riesgo para los autores del programa ya que es muy posible que los CDs originales presenten varias fallasa. 2) Archivos con tamaos falsos: Esta tecnica es muy util ya que simula archivos muy grandes que al momento de ser copiados genera errores por el tamao tan grande del archivo falso. 3) Varios bloques de copiado: El formato ISO para la copia de CDs establece que estos solo deben ser creados en un mismo bloque, por lo tanto cuando se intenta copiar un CD con varios bloques, el programa de quemado generar errores. 4) Errores ficticios: Es posible que el software al ser quemado le diga al quemador que este tiene varios errores ficticios como un error de redundancia cclica, y esto obligara al programa de quemado a terminar su ejecucin.
13.7.
Archivos llave:
Es algo parecido al anterior pero funcionan de muchas formas diferentes dependiendo de las habilidades del programador.
Anti-herramientas cracking:
Estas son muy efectivas si se utilizan tcnicas novedosas o desconocidas para los crackers. Se pueden aplicar anti-depurador, anti-desensamblador, antimonitores de registros o archivos, API, etc. Tambin anti-modificacin del ejecutable que seria algo como anti-editores hexadecimales.22
Existen varias formas de hacer crashing en un software, como el simple hehco de cambiar la hora del reloj del computador (en el ejemplo de tiempo de uso
22
39
limitado), y como vemos, muchas de estas son muy sencillas, solo requieren de un poco de ingenio para encontrar los bugs que tienen esta aplicaciones.
Ahora, para irrumpir en la seguridad de otros sistemas, paginas web, etc, existen formas mas complejas, pero al mismo tiempo muy sencillas. Estas "formas" son mas complejas de explicar y por eso van a ser mencionadas mas adelante.
La mayora de atackes que pueden ser usados en la red son formas de crashing usadas para entrar en sistemas ajenos y as poder conseguir informacin, o simplemente destruir un ordenador. Este segundo capitulo esta dedicado a los posibles ataques que se pueden encontrar en internet, y en esto podemos encontrar mas de una manera de hacer crashing en diferentes formas.
14.
VIRII O VIRUS
14.1.
QU ES UN VIRUS?
El trmino "virus" se usa para llamar a programa de ordenador, generalmente de autor annimo, que lleva a cabo acciones que resultan nocivas para el sistema informtico y cuyo funcionamiento queda definido por las siguientes propiedades. Es capaz de generar copias de s mismo de forma homognea o en lugares escondidos para el usuario comn, en un fichero, disco u ordenador distinto al que ocupa. Modifica los programas ejecutables a los que se adhiere, o entre cuyas instrucciones de cdigo se introduce, consiguiendo as una ejecucin parasitaria. La ejecucin parasitaria consiste en que el virus se ejecute de forma involuntaria cuando se ejecute el programa que lo porta. Los programas
40
portadores pueden ser de uso comn del usuario o programas ejecutables del sistema operativo. El efecto que produce un virus puede comprender acciones tal como un simple mensaje en la pantalla, la disminucin de la velocidad de proceso del ordenador. Pero todos los virus para lograr su funcionamiento tiene que ser ejecutado, es decir que para que un programa de este tipo realice sus acciones es necesario que se active. Por otro lado, debe permanecer en memoria para poder obtener as el control permanente del ordenador. Generalmente su funcionamiento esta comprendido en dos fases. Durante un perodo el programa permanece oculto al usuario, en espera de una accin, como la introduccin de una cadena especial de caracteres por el teclado, una fecha determinada, la ejecucin de un programa especifico el cual lo porta o un tope de autocopias del virus almacenado en un contador interno. En esta fase, el programa realiza una accin de esparcimiento en el cual su objetivo principal consiste en realizar el mayor nmero posible de copias de s mismo, y as cubriendo el mayor numero de fases del ordenador. Una vez que el virus se ha reproducido, este realiza la accin nociva para la que haya sido creado, completando as la segunda fase de funcionamiento. Por ltimo, cabe destacar que un virus se disea intentando ocultar su presencia ante el sistema y ante el usuario. Generalmente no es descubierto hasta que surge un hecho anormal derivado de su ejecucin que produce una seal de alarma. El "contagio" del virus se realiza de forma lgica a travs de operaciones de entrada y salida sobre soportes magnticos o distintos puertos utilizados para conectarse a la red, y as estando el programa contaminante en ejecucin y almacenado en la memoria. El origen de todo virus es lo que se llama un "programa padre" desarrollado por un programador, encargado de iniciar el esparcimiento del virus.
41
Algunas personas tienen una clasificacin de los virus dependiendo de la accion por la cual han sido creados. As han sido divididos estos programas en benignos y malignos. En la subdivisin de los benignos estan incluyen programas que no ejercen acciones destructivas sobre la informacin almacenada en la memoria y los malignos son los que ejercen acciones destructivas a la informacin. Si se analiza un poco ms con detalle el efecto de un virus, podemos deducir que este factor de "benignidad" no existe, ya que si esta alterando la memoria. Los virus "benignos" se almacenan en la memoria de tal forma que reducen el espacio operativo de esta, por otro lado, necesita del manejo de interrupciones del sistema operativo para sacar el mensaje por la pantalla e influye sobre el mecanismo de control del ordenador. La suma de estas acciones puede generar una reduccin de la velocidad de proceso en Hardware y un aumento considerable en el tiempo de respuesta del ordenador. No hay virus que sea benigno porque cualquier funcionamiento anormal del ordenador es un perjuicio para el usuario.23
14.2.
CMO SE CONSTRUYEN?
Principalmente cualquier herramienta de programacin es buena para hacer un virus, sin embargo, por lo general los virus son de pequeo tamao y tratan de contener el mximo cdigo en el mnimo espacio. En general, la creacin de un virus requiere el uso de detalles tcnicos del sistema operativo y de la mquina. Por ltimo cabe destacar que la mayora de los virus existentes no estn escritos a partir de cero, sino que son variaciones de virus ya creados. Esto es debido a que es ms fcil crear un virus a partir de otro ya existente que partiendo desde cero. Adems, es muy frecuente que unos virus copien las tcnicas que aparecen en otros.
42
14.3.
HISTORIA DE LOS VIRUS
El principio para descubrir el origen de los virus se encuentra en una serie de articulos publicados en la revista americana "Scientific American", firmados por A. K. Dewdney. El primero de la serie , fechado en mayo de 1984 se titulaba "El juego de la guerra nuclear", y se trataba de 2 programas hostiles que entablaban, sin ayuda externa, una lucha hasta la destruccion, solo podia quedar uno, el nombre original de ese juego era "Core Wars" y es el antepasado directo del "Red Code" y otros. Dewdney no sabia el alcance que tendria su juego que rapidamente fue utilizado como base para la creacion de otros basados en el, as poco a poco se fue llegando a lo que se conocio como "virus informtico" hasta el punto de que es acusado de haber sido su precursor. En 1989 Dewdney se defiende de las acusaciones con otro articulo en el cual dice que con su transparencia informativa quiere estimular la investigacin en ese campo pero sin fines dainos, presenta adems una argumento de peso y dice textualmente: "las descripciones de virus, incluso las ms detalladas, no pueden utilizarse en la construccin de un programa maligno excepto por un experto. Una persona con conocimientos de ASM no necesita la lectura de un articulo para crear un programa destructivo"
Despus de sentar estas bases, y sin encontrar motivos para no hacerlo, realiza una detallada explicacin de los programas virus y se manifiesta de acuerdo con las teoras de Cohen, referentes a la imposibilidad de crear un programa que detecte todo tipo de virus (aunque en 1997 McAfee dice lo contrario)
23
Sortilegio, Virus. www.elhacker.net
43
En 1982 se creo el primer virus informtico en una universidad de Estados Unidos. Un estudiante cre un programa para un trabajo de la universidad el cual se replicaba continuamente hasta un punto. Lo que el estudiante no sabia era que el programa contena un error, el bucle no paraba, y al ejecutarlo sobre saturaba al ordenador. Este virus se difundi sobre toda la red de la universidad de forma involuntaria y as bloqueo la mayora de los ordenadores. Los dueos de la universidad mantuvieron este suceso en secreto para no perder prestigio, y hasta el alumno creador de este fue perdonado.
El primer contagio masivo de microordenadores se dio en 1987 a travs del MacMag virus tambin llamado Peace Virus sobre ordenadores Macintosh, la historia segn se cuenta fue as: Dos programadores, uno de Montreal, Richard Brandow, y otro de Tucson, Drew Davison, crearon un virus y lo incluyeron en un disco de juegos que repartieron en una reunin de un club de usuarios. Uno de los asistentes, Marc Canter, consultor de Aldus Corp., se trajo el disco a Chicago y contamin su ordenador. Al realizar pruebas del paquete Aldus Freehand contamin el disco maestro que posteriormente devolvi a la empresa fabricante, all la epidemia se extendi y el programa se comercializ con el virus incluido. El virus era bastante benigno, el 2 de Marzo de 1988 (primer aniversario de la aparicin de Macintosh II) hizo pblico en la pantalla un mensaje pidiendo la paz entre los pueblos, y se destruyo a si mismo. Existe una versin de este virus que se detect en alguna red de correo electrnico de IBM y al que se denomina IBM Christmas card o Xmas que felicita el 25 de Diciembre.24
14.4.
TIPOS DE VIRUS
44
14.4.1.
VIRUS DE BOOT
Como su nombre indica, los virus de esta clase utilizan los sectores de arranque y la tabla de particin para ejecutarse y tomar el control cada vez que el ordenador arranque desde un disco contaminado. Una vez el virus se encuentra en la memoria, el virus recibir el control del ordenador cada vez que alguien trate de leer o escribir en alguna de las unidades. Cuando el sistema operativo detecta algn cambio de una unidad de disco, siempre necesita leer el sector de arranque del disco presente en la unidad para determinar las caractersticas del nuevo disco. El sistema operativo suele utilizar los servicios de lectura del disco para leer el sector arranque, el cual estar infectado por el virus. En consecuencia, el virus es consciente de que quiere acceder al boot de un disco, un sistema que posiblemente no est infectado. Cada vez que se produzca una solicitud de acceso a una unidad de arranque del disco, el virus comprobar la letra de la unidad, para saber si se trata de un disquete. Si no es una disquete, el virus ceder el control a los servicios de discos originales, para que realicen su trabajo normalmente. En caso contrario, el virus toma precauciones para que las prestaciones del disco no desciendan. Si cada vez que se leyera un sector cualquiera de un disquete, el virus comprobase si el sector boot del mismo ya est contagiado, habra un gran aumento del nmero de desplazamientos de las cabezas del disco y un gran descenso en las prestaciones del sistema. El virus permanecer inactivo hasta que pueda llevar a cabo su tarea sin ser detectado. Cuando el sector que se pretende leer es el lector boot de un disquete, el virus entra en accin. El sector es ledo en memoria, y antes de
24
http://www.siempreon.com/hack/Virus/VHisto/vhisto.html
45
regresar al programa que ha realizado la solicitud de lectura, el virus revisa la imagen del sector almacenada en memoria, para ver si el disquete ya estaba infectado por l. Si lo estaba, el virus ceder el control al programa y se retirar hasta la siguiente llamada. En el caso de que el sector ledo est limpio, comenzar el proceso de infeccin. Lo primero que har, ser buscar un sitio en el disquete para guardar una copia del boot original. Otros lo guardan en la ltima posicin del disquete, destruyendo la informacin que estuviese almacenada si el disquete est lleno. Despus de guardar el boot original, el virus escribe su cdigo en el sector boot del disquete preservando la informacin sobre la estructura del mismo. Como esta escritura se produce inmediatamente despus de una lectura, el usuario no considerar anormal el encendido de la unidad de disquete. Adems el tiempo que tarda en escribirse en un sector del diskete es mnimo.
14.4.2.
VIRUS DE FICHERO
Los virus de esta clase, utilizan los ficheros ejecutables como medio de transmitirse y tomar el control. Similarmente a lo que ocurre con los sectores boot infectados, un fichero ejecutable (programa) infectado, es completamente inofensivo mientras que no se active. Lgicamente, los programas estn para ser ejecutados, por lo que tarde o temprano, entrar en funcionamiento. Cuando se pone en marcha un programa infectado, las primeras instrucciones que se ejecutan pertenecen al cdigo del virus, por esto quien toma el control del ordenador es el virus y no el programa.
46
Una vez que el virus toma el control, pueden pasar numerosas cosas dependiendo de las caractersticas de cada virus. Podemos decir que existe dos vas de comportamiento dependiendo de si se trata de un virus residente o de accin directa. Virus de ficheros residentes: nada ms tomar el control, el virus suele comprobar si se dan las condiciones para ejecutar su rutina de ataque. Si no ha llegado la hora de actuar, el virus reserva una pequea porcin de la memoria para poder "residir". El nmero de bytes de memoria que un virus residente necesita reservar est en funcin de su tamao, que el la mayora de los casos est en el rango de 200 a 5000 bytes. Una de las formas de confirmar la presencia de un virus en un sistema consiste en obtener un mapa de las asignaciones de memoria y comprobar que todos los bloques reservados tengan un propietario conocido. Cuando el virus ya est correctamente situado en memoria, con ciertos servicios del sistema interceptado, slo le queda poner en funcionamiento el programa original para que la apariencia de normalidad sea absoluta. Es en este momento cuando empieza la segunda parte, la infeccin de otros ficheros y en muchos casos el comienzo de una serie de comportamientos extraos del ordenador como por ejemplo: cada de las letras de la pantalla, sonidos, mensajes de error sin sentido, desaparicin de ficheros, etc. La gran mayora de los virus residentes infectan a otros programas en el momento en que son ejecutados o copiados. Virus de fichero de accin directa: estos virus no permanecen en memoria despus de ser ejecutados y por tanto, tampoco interceptan los servicios del sistema. Estos tipos de virus se ven obligados a replicarse en el momento en que son ejecutados. Cuando se ejecuta un fichero infectado por un virus de accin directa, el virus que lleva acoplado toma el control. Lo primero que hace, es comprobar si se dan las condiciones para activar su rutina de ataque. Si no se dan, el virus puede buscar
47
vctimas para infectarlas. Al terminar su tarea de infeccin, el virus cede el control al programa principal para que todo vuelva a parecer normal.
14.4.3.
VIRUS DE SOBREESCRITURA
La caracterstica principal de este tipo de virus, es que no respetan la informacin contenida en los programas que son infectados, es decir, que el programa que infectan queda inservible. Otra caracterstica es que al infectar un programa, ste nunca aumentar su tamao a no ser que el cdigo del virus ocupe ms bytes que el del programa infectado. Aunque el programa original queda destruido, la copia del virus presente en el programa funciona perfectamente. Cuando el programa sea ejecutado, el virus se encargar de sacar un mensaje de error extrao, por lo que no se puede ejecutar el programa original. La nica forma de desinfectar o limpiar un programa infectado por un virus de sobre escritura es borrarlo, y sustituirlo por una copia original del mismo.
14.4.4.
VIRUS DE COMPAIA
Este tipo de virus, que pueden ser residentes o de accin directa, aprovecha una caracterstica del intrprete de manatos del DOS, por la cual si en un mismo directorio coexisten un programa COM y otro EXE con el mismo nombre, siempre ser ejecutado en primer lugar el COM. Las ventajas que aporta a un virus infectar programas de esta manera son evidentes, ya que no tiene que modificar ni restaurar ningn dato del programa original. Para desinfectar este tipo de virus, basta con borrar
48
los programas ocultos donde se encuentra el virus y entonces los programas originales quedarn libres de estos virus.
14.4.5.
VIRUS COMPRESORES
Este tipo de virus, que pueden ser residentes o de accin directa, comprimen los ficheros que infectan. Una consecuencia de que los ficheros sean infectados de esta manera, es que a los programas antivirus les ser ms difcil detectarlos.
14.4.6.
VIRUS DE ENLACE DIRECTO
Los virus de este tipo, emplean una tcnica muy sofisticada para infectar ficheros. Cuando un virus infecta un fichero, cambia en la entrada de directoria de ese fichero el campo o dato donde se indica cual es el nmero del primer cluster del fichero por el nmero del primer cluster del virus, almacenando en un rea sin usar de la misma entrada de directorio el nmero original. Este tipo de virus, no se mueve de su posicin en el disco y hace que todos los programas infectados tengan como comienzo la misma copia del virus.25
14.5.
VIRUS FAMOSOS
-- En 1986, dos hermanos, Amjad y Basit Farooq Alvi, crearon lo que se cree fue el primer virus de PC para infectar los discos blandos. Apodado el virus "Pakistani Brain" (Cerebro Pakistan), fue diseado para promocionar su compaa de software, Brain Computer Services, en Lahore, Pakistn.
49
-- El primer gusano, un virus que se propaga a travs de Internet, fue lanzado el 2 de noviembre de 1988 por Robert Morris Jr., un graduado de la Universidad de Cornell. El "Gusano Morris" aprovech una falla en el sistema operativo Unix y se propag en cuestin de das a cerca de 6.000 computadoras centrales, o entre 5 y 10 por ciento del total de Internet en ese momento. Morris, el hijo de un experto en seguridad informtica en la Agencia Nacional de Seguridad estadounidense, fue condenado por violar la Ley de Abuso y Fraude Informtico.
-- En 1989, un adolescente de Sofa, Bulgaria, lanz el virus "Dark Avenger", que destruy datos y contena referencias a letras de la banda de rock metlico Iron Maiden. Tambin cre el primer virus polimorfo, o que cambia de caractersticas para evitar ser detectado.
-- Ching Ing-hau, un sargento del ejrcito taiwans, cre el virus "Chernobyl", tambin llamado CIH, en 1998. Fijado para activarse en el aniversario del desastre nuclear de Chernobyl el 26 de abril, trataba de borrar el disco duro de la computadora infectada. Los expertos dijeron que lo dise para vengarse de la industria antivirus despus de que el ejrcito fuera infectado por un virus.
-- En 1999, David Smith, de Nueva Jersey, cre el virus "Melissa", que se propag por correo electrnico e infect los documentos de Word de Microsoft. Smith tena dos alias, "Vicodin" para su escritura del virus, y "Doug Winterspoon" para cuando se haca pasar por un legtimo experto en virus. Smith no fue a la crcel pero sigue prestando servicio comunitario.
-- El estudiante universitario filipino Onel de Guzmn lanz el virus de E-mail "IloveYou" o "LoveLetter" en el 2000. El virus engaaba a la gente para que abriera un archivo adjunto enviado por correo electrnico e instalaba una
25
http://www.dragones.org/Biblioteca/Articulos/virus3.html
50
especie de detector de tecleo para poder tener acceso a constraseas en las mquinas infectadas.
-- Jan De Wit, de Holanda, dise el virus "Anna Kournikova" en el 2001 usando el alias "On the Fly". El gusano embaucaba a los usuarios de E-mail para que hicieran clic en el archivo adjunto que supuestamente tena una foto de la tenista rusa Kournikova. De Wit fue acusado de propagar datos a travs de redes de computadora con la intencin de causar dao.
-- El gusano "Blaster" y el virus del correo electrnico "Sobig" inhabilitaron computadoras y afectaron el trfico de Internet en todo el planeta en agosto y septiembre del 2003. Sobig.F se convirti en uno de los virus ms propagados de la historia, incapacitando las redes corporativas de correo electrnico y llenando las bandeja de entrada de las computadoras de los usuarios con un exceso de mensajes antes de autoreproducirse y atacar a ms vctimas potenciales.
El gusano "Blaster" o "LovSan" se propag aprovechando una falla de seguridad de Windows.
-- "MyDoom" - tambin conocido como "Novarg" o "Shimgapi" se ha propagado con rapidez, principalmente en Norteamrica, representado uno de cada nueve mensajes a nivel mundial. El volumen de mensajes atasc las redes y pareci concentrase en entornos corporativos. Posteriormente surgi una variante que apunta al sitio de Internet de Microsoft Corp., dijeron el mircoles expertos de seguridad. 26
14.6.
CABALLOS DE TROYA O BACKDOORS
26
http://www.cnnenespanol.com/2004/tec/01/29/virus.famosos.reut/index.htm
51
Haba una vez un Fuerte impenetrable, las puertas cerradas con cerca de 100 vigilantes cada 10 metros, algo imposible de entrar. Pero los ingeniosos soldados enemigo pensaron en un caballo de madera en donde meteran todos los soldados, y les haran creer a los vigilantes que era un regalo para el rey, bueno los vigilantes entraron el bonito caballo de madera y cuando estaba adentro se bajaron 100 soldados del caballo y conquistaron el fuerte. Esa es la historia de Troya, por eso se llaman troyanos.
Lo que quiere decir es que una maquina es impenetrable pero si nos metemos haciendo le creer que es un regalo l lo aceptara y cuando el intruso esta adentro abre la puerta y pudes entrar.
Los Troyanos Backdoor, han empezado a consolidarse como la temible nueva generacin de vandalismo ciberntico, debido a su modalidad de incursin ilegal en servidores u ordenadores, tomando el control de los sistemas comprometidos, con los consiguientes daos que ello implica, nada menos que a travs de cualquiera de los 65536 puertos TCP/IP.
Los Troyanos Backdoor no son esencialmente virus, sino "Herramientas de Control Remoto".
Aunque su existencia no es nueva, ya que desde hace mucho tiempo se comercializan software legal para controlar redes LAN en forma remota, como PC-Anywhere o Remote-Anything entre muchos otros, tambin se distribuyen "Freeware" que cumplen similares cometidos.
A pesar que diariamente se propagan virus contenidos en archivos infectados dentro de mensajes de correo, no son pocos los usuarios que motivados por el desconocimiento, la curiosidad, o por no tener actualizados sus sistemas operativos, navegadores, software de correo o antivirus, permiten que esta modalidad todava sea la ms utilizada por los creadores de virus.
52
En lo que va del ao 2002 se han reportado una alarmante cantidad de Troyanos/Backdoor y se estima que existen mas de 5,000 troyanos creados desde 1997, los cuales pueden ser monitoreados y controlados a travs de un software Cliente asociado. En muchos portales de hackers se distribuyen estos ilegales sistemas, incluyendo las potentes herramientas de "barrido" de puertos TCP/IP que permiten detectar las "puertas traseras" abiertas, mediante las cuales pueden ingresar uno de sus componentes.
Los Troyanos/Backdoor de acceso remoto tienen dos componentes principales: el programa Servidor, que se instala en el sistema de la vctima y el programa Cliente que acta en el ordenador del atacante. Ambos programas establecen una relacin Cliente/Servidor entre el computador infectado y el del atacante. Por medio de estos troyanos el atacante puede ejecutar remotamente en los sistemas infectados las mismas acciones que el administrador de un Servidor o usuarios de las PC involucradas.
Troyano/Backdoor Cliente
El Cliente se encuentra en el equipo del atacante y generalmente tiene una interfaz con opciones y desde las cuales puede ejecutar las funciones que se hayan programado para que interacten con los sistemas de las vctimas.
Troyano/Backdoor Servidor
El Servidor que se instala en el sistema de la vctima, es un programa que ocupa muy poco espacio y est asociado al Cliente, para poder recibir las instrucciones o travs del mismo, ejecutar las funciones que el intruso desee. 27
27
Christopher Klaus, Backdoors. 1997
53
14.6.1.
MEDIOS DE TRANSMICION
Los troyanos/Backdoor se pueden transmitir por diversos medios ya que la seguridad de la Internet no tiene los medios para controlar estos ataques y seguir funcionando, los mtodos ms comunes de intrusin de un Backdoor son los siguientes:
14.6.1.1.
MENSAJES DE CORREO
Son la forma ms fcil de propagacin por medio de un archivo anexado al mensaje y si el receptor comete el error de ejecutarlo, instalar el Servidor, permitiendo que el intruso pueda controlar el o los equipos infectados.
14.6.1.2. TELNET y SSH
Funcionan en modo Cliente/Servidor y permite ejecutar comandos en el equipo infectado.
Telnet es un programa de emulacin de terminal para las redes TCP/IP. Opera en una computadora y la conecta con un servidor de la red. A partir de ese instante, un usuario puede ingresar comandos a travs del programa Telnet y cada instruccin ser ejecutada como si la hubiera ingresado directamente en la consola del servidor o el equipo asignado.
14.6.1.3.
REDES COMPARTIDAS
Las redes compartidas, mas precisamente las redes p2p, son un riesgo en potencia para la difusin de virus, estas redes permiten todo tipo de archivos, por lo tanto es muy posible encontrar virus. Redes como Kazaa, E-mule, Edonkey, Ares, son redes que tienen un riesgo potencial.
54
Ejemplo tpico de intrusin a la red Kazaa a travs de Telnet:
telnet 1214GET / HTTP/1.0 HTTP/1.1 200 OK Content-Length: 2467 Accept-Ranges: bytes Date: Tue, 20 Aug 2002 14:14:36 GMT Server: KazaaClient Aug 20 2002 17:18:29 Connection: close Last-Modified: Sun, 30 Jun 2002 14:14:36 GMT X-Kazaa-Username: X-Kazaa-Network: MusicCity X-Kazaa-IP: 200.44.XX.XXX:1214 X-Kazaa-SupernodeIP: 24.168.48.42:1214 Content-Type: text/html
14.6.1.4.
Otros servicios de Internet
(HTTP, FTP, ICQ, Chat, Mensajera Instantnea)
Es posible visitar una pgina Web en Internet, la misma que descargue automticamente un troyano Backdoor Servidor y el sistema quedar infectado, bajo control del troyano Cliente. Del mismo modo podr ocurrir en servidores FTP. Por lo general estos servidores, al ser reportados, sern deshabilitados por su ISP, en caso contrario el Proveedor de Servicios de Internet ser merecedor a una sancin.
La popularidad del uso del Chat o de los servicios de Mensajera Instantnea, como MSN Messenger, Yahoo Messenger, Netscape o AOL Messenger, entre
55
otros, han hecho posible la transmisin de virus, macro virus, gusanos, troyanos y Backdoors, entre los usuarios conectados en una misma sesin. Usuarios de una misma red local o por medio de disquetes o cd's.28
14.7.
TROYANOS FAMOSOS
Back Orifice: Este troyano mejor conocido como BO, es uno de los troyanos ms populares distribuidos en la red, y de los mas usados por los antiguos lammers y script kiddies. BO fue creada como una herramienta de administracin remota para sistemas operativos Windows 9x. Esta herramienta fue presentada en 1998 a la convencin de hackers "Black Hat". Esta herramienta permite el re inicio de un sistema remoto, tiene la capacidad de aadir y borrar claves del registro, enviar y recibir archivos, ver contraseas ocultas y crear cuentas de archivos.
Net Bus: Este troyano fue creado por Carl-Frederic Neikter en 1998. Esta herramienta es muy parecida al BO, pero contiene un interfaz grfico mas sofisticado, al igual que sus herramientas. La diferencia entre estos dos reside en que el Net Bus utiliza TCP y el BO UDP para conectarse al sistema remoto.
SubSeven: Est programado en Borland Delphi. Compromete la seguridad del sistema infectado, al habilitar una puerta trasera por la que un atacante puede tomar el control de la computadora de su vctima. Esta versin utiliza por defecto el puerto TCP/11142. Cuando se ejecuta, generalmente engaando al usuario y disfrazado en alguna supuesta herramienta, se copia a s mismo en el directorio de Windows. Este es el troyano ms famoso, su primera versin publica se desarrollo en 1997.29
28 29
Christopher Klaus, Backdoors. 1997 Diario de un hacker. Confesiones de hackers adolescentes Dan Verton Mc Graw Hill, 1999
56
15.
OCULTISMO DE VIRUS
El Antivirus, para muchos hackers llamado el segundo enemigo natural, despus del firewall, es la amenaza de la vida del virus dndose cuenta de la presencia del virus y avisando al usuario al mismo tiempo que es borrado del ordenador. Por esto lo crackers inventaron distintas tcnicas para poder engaar a los antivirus y as poder continuar con sus malficos planes. En 1997, la compaa McAfee virus scan, al ver el "spam" de virus que se difundan en la red invento un sistema de eliminacin: El antivirus. Un ao mas tarde los crackers del mundo vieron la amenaza de estos antivirus hacia sus creaciones y por eso, desde ese momento, se emprendieron en la tarea de crear mtodos de violacin a estos. Principalmente se crearon 5 tcnicas, que aun siguen siendo las ms populares para el uso de los crackers: Tcnicas de auto encriptacin, Mecanismos Polimorfos, Armouring, Stealth y la ms importante, el Tunneling.
15.1.
TUNNELING
Para entender como funciona esta tcnica, basta saber como trabaja este tipo de antivirus. l mdulo residente queda colgado de todas las interrupciones usualmente usadas por los virus (INT 21, INT 13, a veces INT 25 Y 26) por eso cuando el virus intenta llamar a INT 21, por ejemplo, para abrir un ejecutable para lectura/escritura, y luego infectarlo, l antivirus produce una alarma, pues los ejecutables no son normalmente abiertos para escritura. Y as con todas las llamadas tpicas de los virus. En cambio, cuando se hace una llamada comn y corriente, el antivirus no se alarma y la deja pasar, llamando a la INT 21 original. Un virus con tunneling, entonces, antes de llamar a ninguna funcin ni hacer nada, intenta obtener la direccin absoluta de este INT 21 original, que esta en alguna parte de la memoria del antivirus
57
residente. Una vez que obtiene esta direccin, accede al DOS por medio del, sin llamar al antivirus. Y as, efectivamente, pasa por debajo, lo "tunela". Cmo se hace esto?
Existen dos formas fundamentales de obtener esta direccin. La primera, y la mas usada, es utilizando la interrupcin de trace (INT 1) y la trap flag. Que son usadas por los DEBUGGERS para atravesar el cdigo orden a orden hasta hallar lo que se busca. La segunda, es hacer un simple scanning del cdigo, byte a byte, hasta hallar la direccin.
La primera forma de tunneling es usada por todos los virus que usan esta tcnica, como por ejemplo, el Predator II o el Yankee Doodle. La segunda no se usa en ningn virus, pero es la que usa Kohntark en su celebre Kohntark Recursive Tunneling Toolkit.30
15.2.
STEALTH
Un virus "Stealth" es aquel que cuando est activado esconde las modificaciones hechas a los archivos o al sector de arranque que al que est infectado. Esta tcnica hace uso de todos los medios posibles para que la presencia del virus pase totalmente desapercibida, anulan efectos tales como el tamao de los archivos, los cambios de la fecha, hora o atributo, hasta el decremento de la memoria RAM.
Un ejemplo simple lo constituye uno de los primeros virus de nombre (c) Brain que infectaba el sector de arranque, monitoreando los I/O (entrada y salida) y re direccionando cualquier intento de lectura de este sector infectado.
30
http://deco-hack.iespana.es/deco-hack/manuales/Tunneling.txt
58
Cuando un virus "Stealth" est activo en memoria cualquiera de estos cambios pasarn desapercibidos al realizar un DIR, por ejemplo, ya que el virus habr tomado control de todo el sistema.
Sin embargo, si se arranca el equipo desde un disquete de sistema limpio de virus y con la proteccin contra escritura, al efectuar la misma orden DIR se detectarn los cambios causados a los archivos infectados.
Un virus de boot programado con esta tcnica reemplaza perfectamente al verdadero sector de arranque, que tiene apenas 512 bytes y al cual mueve hacia otro lugar del disco pero que con una instruccin de salto vuelve otra vez a utilizarlo.
Hoy da es posible crear virus con la tcnica Stealth, en cualquier lenguaje de programacin, adems del Assembler o por medio de los Generadores Automticos de Virus, Gusanos y Troyanos que se difunden en muchos portales denominados "Underground".31
15.3.
AUTO ENCRYPTACIN
Esta tcnica muy utilizada, consigue que el virus se encripte de manera diferente cada vez que se infecta el fichero, para intentar pasar desapercibido ante los antivirus. 32
15.4.
MECANISMOS POLIFORMICOS
Es una tcnica para impedir ser detectados, es la de variar el mtodo de encriptacin de copia en copia. Esto obliga a los antivirus a usar tcnicas
31
http://www.perantivirus.com/sosvirus/general/stealth.htm
59
heursticas ya que como el virus cambia en cada infeccin es imposible localizarlo buscndolo por cadenas de cdigo. Esto se consigue utilizando un algoritmo de encriptacin que pone las cosas muy difciles a los antivirus. No obstante no se puede codificar todo el cdigo del virus, siempre debe quedar una parte sin mutar que toma el control y esa es la parte ms vulnerable al antivirus. La forma ms utilizada para la codificacin es la operacin lgica XOR. Esto es debido que esta operacin es reversible:
2 XOR 5 = 3 3 XOR 2 = 5
En este caso la clave es el nmero 9, pero utilizando una clave distinta en cada infeccin se obtiene una codificacin tambin distinta.
Otra forma tambin muy utilizada consiste en sumar un numero fijo a cada byte del cdigo vrico.33
15.5.
ARMOURING
Mediante esta tcnica el virus impide que se examinen los archivos que l mismo ha infectado. Para conocer ms datos sobre cada uno de ellos, stos deben ser abiertos (para su estudio) como ficheros que son, utilizando programas especiales (Debuger) que permiten descubrir cada una de las lneas del cdigo (lenguaje de programacin en el que estn escritos). Pues bien, en un virus que utilice la tcnica de Armouring no se podr leer el cdigo. 34
32 33
http://www.zonavirus.com/Tecnicas/Tecnicas_de_autoencriptacin.asp http://www.zonavirus.com/Tecnicas/Mecanismos_Polimorficos.asp http://www.zonavirus.com/Tecnicas/Armouring.asp
34
60
16.
PIRATERIA POR MAIL
No s en realidad que pretenden las compaas o la gente al mandar un mismo E-mail a distintas direcciones, tal vez propaganda o informar a la gente. Un usuario de Internet comn como muchos han recibido algn E-mail con propaganda de un producto, as sea algn mtodo de cmo ahorrar dinero, algn producto para la casa o pornografa. Estos mensajes son
verdaderamente molestos ya que nos quita tiempo al para ver si es de alguna persona importante o con el solo hecho de borrarlos, tambin estos saturan nuestro espacio de correo electrnico impidiendo que nos llegue alguna
informacin importante. Para dicha de todos ustedes, estas acciones son ilegales y se llaman "mail spaming". El mail spaming es el envo masivo de correos electrnicos con alguna propaganda o algn virus, en esta categora tambin entran las cadenas de correo electrnico que nos mandan nuestros compaeros o conocidos.
Los antivirus y los clientes de correo intentan hacer lo posible por evitar esto con una tcnica llamada control de flujo de spam, o filtros de spam. Lo que hace esta tcnica es redireccionar estos correos a una carpeta especifica, y algunos solo borran el correo que acabo de llegar. Pero como pueden distinguir un spam de un E-mail verdadero? Esto no es tan fcil, y nadie ha podido encontrar una cura a este problema, pero si existe una tcnica que elimina la mayora de estos. Los servidores de E-mail hacen una recopilacin de las caractersticas ms importantes de los spam mails y los bloquean. Aunque esta tcnica no es totalmente efectiva contra todos los spam, y hay veces que hasta bloquean E-mails importantes, es lo ms efectivo para librarse de estos molestos mensajes y de los virus que rondan por los E-mails. Esta seccin esta dedicada a explicar mas a fondo lo que en realidad son estos.
61
La idea del sabotaje en servidores de E-mail surgi cuando un cracker creo una aplicacin para enviar mltiples correos con una direccin annima y as saturar la cuenta de correo de su vctima, esta aplicacin fue llamada mail bomber, que despus fue publicado en la red para el uso comn de este, aqu fue cuando se creo el primer programa de spaming. Un mail bomber es un programa para enviar a una cuenta de correo electrnico una cantidad de mails determinada para saturar la cuenta o simplemente para enviar algunos que se tome el trabajo de borrarlos. Generalmente fue creado en Visual Basic 6, con 10 winsocks (sockets de Windows) que sirven para establecer conexiones a servidores usando Windows, que en este caso se utilizan para conectarse a distintos servidores de mails SMTP (simple mail trasnsfer protocol) .
16.1.
SPAM MAILING
Originalmente 'Spam' se llamo al jamn con especias (Spiced Ham) producido por Hormel en 1926 como el primer producto de carne enlatada que no requera refrigeracin. Esta caracterstica hacia que estuviera en todas partes, incluyendo en los ejrcitos americanos y rusos de la segunda guerra mundial. Se llama spam a la prctica de enviar indiscriminadamente mensajes de correo electrnico no solicitados. Generalmente, se trata de publicidad de productos, servicios o de pginas Web.
Actualmente, se calcula que el 30% de los mails (unos 500 millones de mails por da) que se envan son no solicitados, o sea, spam. Esto quiere decir que en el momento en que ests leyendo este artculo se estn enviando varios millones de mails no solicitados. El spam es perjudicial para todos, hasta para la empresa que lo enva.Por lo general, las direcciones son robadas o compradas.
62
Esta gente aclara, con gran dignidad, que no copia ni vende software. Tambin ponen en sus mensajes (que dicho sea de paso son spam porque yo no los solicit) "no compre bases truchas" "todas nuestras bases cuentan con direcciones reales y activas".
Aunque hay algunos spammers que envan solamente un mensaje, tambin hay muchos que te bombardean todas las semanas con el mismo mensaje con archivos adjuntos sobre la necesidad de filtrar el agua de la ducha con un anlisis de varias pginas, que nadie lee. De todos modos, si cada persona que abre una pgina web te va a enviar un mail, el correo electrnico sera absolutamente inservible.
Tampoco es agradable que enven un mensaje en formato HTML promocionando un nuevo servicio de distribucin de videos, exclusivo para la ciudad de Medellin, cuando el usuario vive a miles de kilmetros de distancia. Esto, adems de ofrecer una imagen negativa sobre la empresa que enva el spam, muestra la poca utilidad de las bases de datos compradas.
Por otro lado los spammers invocan una supuesta ley por la cual el mensaje que estn enviando no puede ser considerado spam si tiene una forma de ser removido. Esto es una gran mentira. Esa ley no existe. Adems, la mayora de las veces si uno contesta el mail pidiendo ser removido de la lista, lo nico que hace es confirmar que su direccin existe. Por lo tanto, es conveniente no responder nunca a un mensaje no solicitado. Lo mejor es aplicar filtros o reglas de mensaje para evitar recibir mensajes de esas direcciones. Otra opcin muy buena, es quejarse al postmaster del que enva el spam.
16.2.
HOAXES
63
Los hoaxes (broma, engao) son mensajes de correo electrnico engaosos que se distribuyen en cadena. Algunos tienen textos alarmantes sobre catstrofes (virus informticos, perder el trabajo o incluso la muerte) que pueden sucederte si no reenvas el mensaje a todos los contactos de tu libreta de direcciones. Tambin existen hoaxes que tientan con la posibilidad de hacerte millonario con slo reenviar el mensaje o que apelan a la sensibilidad invocando supuestos nios enfermos. Hay otros que repiten el esquema de las viejas cadenas de la suerte que recibamos por correo postal que te auguran calamidades si cortas la cadena y te prometen convertirte en millonario si la sigues. Para lograr la continuacin de la cadena se utiliza psicologa o ingeniera social.
Por eso lo mejor es no reenviar estos mensajes, rompe las cadenas. Bsicamente, podemos dividir los hoaxes en las siguientes categoras:
Alertas sobre virus incurables Mensajes de temtica religiosa Cadenas de solidaridad Cadenas de la suerte Leyendas urbanas Mtodos para hacerse millonario Regalos de grandes compaas Hotmail y Messenger: Passwords de Hotmail Hotmail se cierra Quitan el Messenger Prdida de casilla de Hotmail Alerta!!!!! Atencin!!!!! Hotmail NO cierra Otros: Garca Mrquez Test de personalidad Deforestacin del Amazonas Falso curso de Cisco La coima del siglo Base nuclear norteamericana en Tierra del Fuego
64
El truco del !0000 contra los virus, es un HOAX SCAM: Estafa a la nigeriana Manda un mail a 11 personas y aparecer un video en tu pantalla Peticin para evitar la Tercera Guerra Mundial El poema "Instantes" no es de Borges, Rock, satanismo, mensajes ocultos, etc.
Finalmente, reproducimos algunos mensajes que no son hoaxes sino que son mensajes reales pero que, por distintas causas, no deben ser reenviados.
Hay otros mensajes que no nacen como hoaxes pero pueden ser considerados como tales:
- Poemas y mensajes de amor y esperanza - Mensajes para unirte a programas de afiliados - Chistes y fotos que circulan en cadena
Caractersticas Objetivos Consecuencias:
- No tienen firma. - Algunos invocan los nombres de grandes compaas. - Piden al receptor que lo enve a todos sus contactos. - Te amenazan con grandes desgracias si no lo reenvis. - Conseguir direcciones de mail. - Congestionar los servidores. - Alimentar el ego del autor. - Hacen perder valor a cadenas creadas por gente que realmente lo necesita.
16.3.
OBTENCION DE CONTRASEAS
65
Este es el tema mas buscado por los lammers en la red, como obtener contraseas de correos electrnicos ajenos. Pero este tema no solo le concierne a los lammers, sino tambin a los servidores de correo electrnico y a los usuarios. Esta pelea de la seguridad de los E-mail se ha convertido en una guerra sin fin entre crackers y lammers contra los dueos de las compaas de correo electrnico. En la actualidad hay muchas defensas contra estos ataques, pero al mismo tiempo muchos fallos de seguridad o "bugs".
Por mi experiencia en el submundo he encontrado varias formas de penetrar en la seguridad de los correos electrnicos y de descubrir contraseas de cuentas de correo ajenas. Son seis principales formas de acceder a esta informacin:
Uso de KeyLoggers:
El KeyLogger fue principalmente utilizado en varias
universidades con el fin de controlar la actividad de los alumnos. Un KeyLogger es una aplicacin que guarda toda la informacin que ha sido escrita en el ordenador para as poder acceder a esta y probar el posible uso delictivo de estos. Pero los crackers utilizaron este mtodo para encontrar las contraseas de sus vctimas. Cuando la vctima iniciaba una sesin de algn sistema operativo, o cuando entraba a su correo electrnico, este tenia que escribir su contrasea, la cual quedaba guardada en el KeyLogger. Esta informacin quedaba al alcance del lammer el cual entraba al ordenador y recoga la informacin. Ahora esta tcnica es muy utilizada en colegios y universidades para obtener las contraseas de sus vctimas.
Troyanos:
Muchas de estas aplicaciones contienen un KeyLogger adentro que le permite al usuario conseguir una contrasea de alguna vctima que este a distancia. Al meter el troyano,
66
el lammer tiene total acceso al ordenador de la vctima y as puede recoger la informacin escrita mas tarde.
Ingeniera social:
Esta es de las tcnicas ms sencillas, ya que no requieren de mucho conocimiento de ordenadores. El lammer, utilizando un "annimos mailer", un programa que enva un correo electrnico con una direccin de correo falsa. As con una buena coartada el lammer podr conseguir una respuesta exitosa con la informacin de la vctima.
Xploits:
En este caso, un xploit es una puerta falsa, es decir una entrada al correo inexistente. Los lammers crean una copia exacta de la pagina del servidor de correo la cual guarda la informacin de la vctima y la reenva al intruso, es decir, cuando la vctima ingresa su cuenta de correo electrnico, su informacin va a quedar guardada en la trampa que le puso el intruso.
Pregunta secreta: Este es el mtodo ms fcil y ms comn de conseguir la contrasea de algn usuario. Algunos servidores de correo electrnico le dan la posibilidad al usuario de elegir una pregunta y una respuesta secreta en caso de que olvide su contrasea. Si el lammer conoce a su vctima este podr adivinar la respuesta secreta y as conseguir la contrasea de la vctima.
Fuerza bruta:
Este es el mtodo ms complicado pero el ms efectivo, hace unos meses descubr un fallo de seguridad (bug) en dos de los servidores de correo electrnico ms
importantes, yahoo y hotmail. Al usuario ingresar de forma errnea su contrasea tres veces su cuenta quedara
67
bloqueada al instante, pero si el usuario cierra la pagina web del servidor de correo electrnico y la vuelve a abrir tiene la posibilidad de escribir errneamente su contrasea un numero infinito de veces. Para esto, es posible crear un programa que utilice Telnet para dirigirse al servido de correo electrnico e ingresar una contrasea cualquiera, despus, el programa saldr del servidor de correo electrnico, volver a ingresar y escribir otra contrasea al azar. El programa repetir el proceso hasta llegar a una contrasea acertada y ah es cuando parara.
Forma fcil:
Para que PORFAVOR no me escriban dicindome como hackeo Hotmail mandan un mail a la administracin y listo ellos les dan un link para que reseteen la contrasea. Por favor, no contactarme para este tema.
17.
CARDING
Ya explique esta tcnica anteriormente, pero lo que pretendo hacer ahora es dar una explicacin mas a fondo de lo que se trata esto. Como dije antes esta tcnica no necesariamente necesita de un ordenador para que pueda ser efectiva. Hay dos formas de utilizar esta tcnica y sus derivadas, la primera es sin utilizar un ordenador, y la segunda es utilizando los ordenadores.
La forma ms simple de encontrar informacin de tarjetas de crdito es utilizando el trashing. Esta tcnica ya no es muy utilizada ya que el mtodo de utilizar maquinas que dejen carbones de tarjetas de crdito ya no es muy comn, pero aun as se encuentran. El Trashing consiste en obtener carbones de tarjetas de crdito que son dejados por algunas maquinas al usuario pagar
68
con tarjetas de crdito. El mejor lugar para buscar carbones en la actualidad son los distritos industriales, ya que para ellos la tecnologa en tarjetas de crdito no es de vital importancia. Tambin, aunque sea ms difcil, podremos encontrar las copias de las facturas en algunas canecas de los distritos comerciales. Otro lugar son las canecas de los cajeros electrnicos, en los que se pueden conseguir los recibos de sus cuentas y ah toda su informacin. Lo ms recomendable para hacer esto es llevar algunas herramientas para destruir los candados de las canecas u otros mecanismos de seguridad en los que puedan estar los carbones o los recibos.
Otra forma de conseguir la informacin de las tarjetas de crdito es viendo la informacin de las tarjetas de compaeros o amigos que las descuiden en algn lugar. La forma ms efectiva de lograr obtener la informacin es por medio de un keylogger (ver keylogger seccin 6.B), al utilizar este programa, la informacin de la tarjeta de crdito que la vctima escriba en el ordenador ser guardada.
Principalmente la informacin que se debe conseguir de una tarjeta de crdito son: El nombre del usuario, la fecha de expiracin, el numero de la cuenta, que esta entre doce y dieciocho nmeros, y el tipo de tarjeta (visa, american express etc.)
Ya obtenidos los carbones o recibos, existen varias formas de usarlos, como ordenando artculos por telfono, haciendo llamadas a lneas especiales (lneas calientes, adivinos, concursos, etc.), o utilizando Internet para hacer las compras en lnea. El uso ms comn hoy en da es la transferencia de dinero de una cuenta hacia otra, con el nmero de cuenta y la clave, es fcil transferir grandes sumas de dinero.
Actualmente la seguridad de las tarjetas de crdito es muy poca, y el agujero de seguridad mas grande es uno mismo, los nmeros de tarjetas de crdito son
69
difundidos por toda la red al hacer compras y los usuarios las dejan en diferentes archivo, igualmente el pishing se volvi una moda entre la gente maliciosa de la red.
18.
Pishing
El "Pishing" es una forma de estafa bancaria, basada en el envo de mensajes electrnicos fraudulentos.
Bsicamente el "Pishing" es una forma de correo electrnico no solicitado, que pretende obtener informacin confidencial mediante la suplantacin de las pginas de acceso a un servicio de banca electrnica.
Phishing es la capacidad de duplicar una pgina web para hacer creer al visitante que se encuentra en la pgina original en lugar de la copiada. Normalmente se utiliza con fines delictivos duplicando pginas web de bancos conocidos y enviando indiscriminadamente correos para que se acceda a esta pgina a actualizar los datos de acceso al banco.
En ocasiones, el trmino phishing se dice que es la contraccin de password harvesting fishing probablemente (cosecha y pesca de contraseas), aunque esto es un acrnimo retroactivo.
De forma ms general, el nombre phishing tambin se aplica al acto de adquirir, de forma fraudulenta y a travs de engao, informacin personal como contraseas o detalles de una tarjeta de crdito, hacindose pasar por alguien digno de confianza con una necesidad verdadera de tal informacin en un e-
70
mail parecido al oficial, un mensaje instantneo o cualquier otra forma de comunicacin. Es una forma de ataque de la ingeniera social Indicador de nivel de Pishing actual La Asociacin de Internautas ha creado el indicador AlertPhising para uso de los sitios web que deseen ofrecer a sus visitantes informacin en lnea del estado de los ataques en vigor El indicador AlertPhising es una aplicacin sencilla, que indica mediante distintos colores y niveles el estado de alerta de ataques de Phishing a las entidades que estn siendo suplantadas. Nivel 1 (No hay alertas) Nivel: 2 (bajo) Nivel: 3 (moderado) Nivel: 4 (alto) Nivel: 5 (Extremo) Adems cuenta con un enlace permanente a los consejos antiphishing del Centro de Alerta temprana sobre Virus y Seguridad Informtica, perteneciente a la entidad Red.es
El phishing es una de las tcnicas ms empleadas por ciberdelincuentes para llevar a cabo estafas online. La Campaa pone a disposicin de los usuarios ejemplos y consejos para hacer frente a la grave amenaza del phishing.
(Asociacin de Internautas) Las herramientas disponibles gratuitamente en la web http://www.seguridadenlared.org permiten a los usuarios mantener sus equipos libres de todo tipo de malware.
- La 1 Campaa Mundial de Seguridad en la Red pone en manos de todos los
71
usuarios la posibilidad de luchar contra todo tipo de amenazas procedentes de Internet. Precisamente una de las ms peligrosas, y que cada da es empleada con ms frecuencia por parte de usuarios sin escrpulos, es el denominado phishing.
El phishing consiste en el envo de falsos mensajes de correo electrnico que, simulando proceder de fuentes fiables, intentan recoger datos confidenciales de los usuarios, principalmente relacionados con cuentas bancarias o tarjetas de crdito. Normalmente, en estos mensajes se afirma que, por motivos de seguridad, es necesario actualizar datos de los clientes, como nmeros PIN, nombres de usuario o passwords. En caso de que el usuario -confiado por el aspecto del mensaje recibido- introduzca dichos datos, los mismos sern enviados a manos de ciberdelincuentes que, de esa manera, podrn realizar estafas fcilmente.
Lo ms habitual es que dichos e-mails aparenten proceder de entidades financieras de reconocido prestigio. En algunas ocasiones, en lugar de enviar los datos directamente a partir de un pequeo formulario, el mensaje de correo electrnico contiene un link que, al pulsarlo, dirige al usuario a una falsa pgina web. Esta ltima simula, hasta en sus ms mnimos detalles, la apariencia del sitio web original. Asimismo, existen tcnicas para conseguir que la direccin que aparezca en la barra de direcciones del navegador sea muy similar a la de la compaa de la que aparenta provenir.
Todo esto hace que el phishing est siendo cada vez ms empleado para llevar a cabo fraudes online. De hecho, segn datos obtenidos por AntiPhishing Working Group, el 5% de los usuarios que reciben estos mensajes fraudulentos llegan a introducir sus datos confidenciales.
La
Campaa
Mundial
de
Seguridad
en
la
Red
http://www.seguridadenlared.org, contiene informacin esencial sobre este tipo
72
de
estafas.
En
la
direccin se
http://www.seguridadenlared.org/disfrutandointernet/banca/banca3.htm
encuentran ejemplos de estos correos electrnicos falsos, as como los consejos ms tiles para evitar ser vctimas de estos ataques.
Adems de ello, en dicha direccin, los usuarios pueden informarse sobre cmo utilizar con seguridad los servicios bancarios online o la
http://www.seguridadenlared.org/disfrutandointernet/banca/default.htm, manera ms eficaz de construir claves de
acceso que
http://www.seguridadenlared.org/disfrutandointernet/banca/banca2.htm dificulten las acciones de cualquier
ciberdelincuente.
Segn Victor Domingo, presidente de la Asociacin de Internautas (AI), El phishing se est convirtiendo en una amenaza de primera magnitud. Para evitarla, la nica solucin pasa por estar informado, ya que no existe ningn tipo de programa que pueda impedir totalmente este tipo de ataques. Por eso, dentro de los contenidos del sitio web de la Campaa, hemos reservado un espacio dedicado exclusivamente al phishing. Estamos seguros de que sus contenidos sern de gran valor para todos los usuarios de Internet.
Jos Mara Hernndez, vicepresidente de Expansin Internacional de Panda Software, afirma: por desgracia, los fraudes online cada vez son ms frecuentes y constituyen un gran amenaza, no ya para los equipos informticos, sino para los propios usuarios que pueden ver como sus cuentas se vacan como consecuencia de un ataque phishing. Concienciar a los Internautas sobre estos peligros y, sobre todo, poner a su disposicin las armas necesarias para defenderse, ha sido una de la principales motivaciones para poner en marcha la 1 Campaa Mundial de Seguridad en la Red.
Organizada por la Asociacin de Internautas y Panda Software, la 1 Campaa Mundial de Seguridad en la red fue puesta en marcha el pasado 17 de junio
73
bajo el lema Limpiar el Planeta de virus, y tiene como objetivo lograr una Red ms segura para todos. Esta iniciativa pionera permite a internautas de ms de 100 pases mantener sus equipos libres de virus e intrusos gracias a las herramientas gratuitas que pueden encontrarse en la web de en el sitio web http://www.seguridadenlared.org.
La 1 Campaa Mundial de Seguridad en la Red, que cuenta con el apoyo de ms de 300 empresa e instuciones de todo el mundo est disponible en ocho de los idiomas ms utilizados en Internet: ingls, chino, japons, espaol, alemn, francs, portugus e italiano. Su site -accesible en y
http://www.seguridadenlared.org.
http://www.seguridadenlared.org
http://www.worldwidesecure.org - resuelve todas las dudas que pueden surgirle a un internauta acerca de la seguridad. Adems, incluye todo lo necesario para que conozca al detalle cada amenaza y su solucin especfica, y proteja su ordenador tanto de virus como de otro tipo de intrusos, utilizando las diferentes herramientas gratuitas que estn a su disposicin. Asimismo, tiene una lnea abierta con expertos de seguridad, ya que a travs de un foro puede hacer cualquier tipo de consulta que ser respondida por expertos de la industria.
La 1 Campaa Mundial de Seguridad en la Red es una iniciativa abierta, ya que en ella puede participar todo aquel internauta, empresa o institucin que desee contribuir a su difusin.35
19.
Sniffers y Key Loggers
Estas dos utilidades son las principales utilidades de hurto de informacin. Estas herramientas intentan hurtar la informacin de los usuarios, ya sean contraseas o informacin confidencial. Los antivirus denominan a estas
35
www.sitiosargentina.com.ar
74
utilidades su principales enemigo, ya que son muy difciles de detectar, y los que se detectan no se pueden borrar, ya que estas no son herramientas de uso ilegal y son desarrolladas y distribuidas por empresas distinguidas que cuentas con la autorizacin requerida. Principalmente estas herramientas fueron creadas con fines educativos y de control, pero cayeron en manos de los crackers y las convirtieron en las herramientas perjudiciales para los usuarios y la privacidad de ellos en Internet.
Los KeyLogger son simples herramienta que guardan la informacin de un ordenador en la memoria del disco. Cada vez que el usuario escribe alguna informacin esta ser guardada. Este es el mtodo ms comn que usan los crackers para obtener contraseas, ya sean de correo electrnico, isp, cuentas de usuario, nmeros de tarjetas de crdito, etc.
19.1.
SNIFFERS
Puede ser malo que entren a su ordenador y consigan las sus contraseas, pero puede llegar a ser peor si revisan toda la informacin que recorre la red desde algn ordenador. Estas aplicaciones, llamadas Sniffers, son el control de la red, y as mismo de los ordenadores ligados a ella.
Originalmente los Sniffers eran herramientas que se utilizaban para depurar algunos problemas del funcionamiento de las redes. Estas aplicaciones capturan, interpretan y almacenan toda la informacin que viaja por la red para que puedan ser analizados despus. Con esta tcnica del "siniffing" los usuarios de la red dispones de una aplicacin que les permite ver el flujo en la red y as mismo sus fallos mediante la visin del trfico de informacin.
Un sniffer es una aplicacin que trabaja en conjunto con la tarjeta de red o de mdem y as poder extraer todo el trafico de informacin que se encuentra entre el mdem y el exterior. Las tarjetas de red descartan cualquier tipo de
75
informacin que no va dirigida principalmente a ellas, por eso, otra funcin del sniffer, es colocar a la tarjeta en lo que se llama "modo promiscuo" y as la tarjeta de red recibir todo tipo de informacin para que el sniffer pueda acceder a ella.
20.
IP SPOOFING
En abril de 1989 en un artculo llamado "security problems in tcp/ip Protocol Suite" por S.M Bellovin, fue el primero en identificar el ip-spoofing como un riesgo para las redes de computadores. Bellovin describe cmo Roberto Morris, creador del gusano ahora infame del Internet, calcul cmo el TCP creaba una secuencia de nmeros de serie y forjaba una secuencia de paquetes TCP. Este paquete del TCP inclua la direccin de destinacin de su "vctima" y usando un ataque de ip spoofing Morris poda obtener el acceso de la raz a su sistema apuntado sin una identificacin del usuario o una contrasea.
Una idea falsa comn es que el "IP spoofing" se puede utilizar para ocultar su direccin IP mientras que practica la navegacin en Internet, chatea en lnea, enva un E-mail, etc. Esto generalmente no es verdad. Forjar la direccin IP de la fuente hace las respuestas ser re direccionadas, significando que usted no puede crear una conexin de red normal. Sin embargo, el IP spoofing es una parte integral de muchos ataques de la red que no necesiten considerar las respuestas (el spoofing oculto).
Principalmente el funcionamiento de los protocolos TCP/IP es el siguiente. El sistema del cliente comienza enviando un mensaje de SYN al servidor. El servidor entonces reconoce el mensaje de SYN enviando el mensaje de SYNACK al cliente. El cliente entonces acaba el establecer la conexin respondiendo con un mensaje del ACK. La conexin entre el cliente y el servidor est entonces abierta, y los datos servicio especficos se pueden intercambiar entre el cliente y el servidor. El cliente y el servidor pueden ahora
76
enviar datos a servicios especficos. Como ya dije antes el protocolo TCP usa secuencias de nmeros. Cuando un circuito virtual se establece entre dos servidores, el TCP asigna a cada paquete un nmero como un identificador. Los dos servidores usan este nmero para buscar errores y reportarlos.
Un ataque spoofing del IP se hace en lo "oculto", significando que el atacante asumir la identidad de un anfitrin "confiable". De la perspectiva del anfitrin del blanco, est continuando simplemente sosteniendo una conversacin "normal" con un anfitrin confiable. En verdad, estn conversando con un atacante que esta ocupado forjando los paquetes de las direcciones ip. Los datagramas del IP que contienen las direcciones forjadas del IP alcanzarn el blanco intactos. Cada datagrama se enva sin la preocupacin del usuario al otro extremo.
Sin embargo, los datagramas que el blanco enva detrs (destinado para el usuario confiable) terminar arriba en el cubo, el atacante nunca los ver. Los routers entre la blanco y el atacante saben la direccin de destinacin de los datagramas, en el usuario "confiable", puesto que aqu es de adonde vinieron originalmente y de donde deben ser vueltas. Una vez que los datagramas se encaminen all, el protocolo se estaca, y una vez que alcanza el TCP, sern desechados.36
Existen cuatro mtodos que son utilizados al hacer IP spoofing:
hombre-en-medio: el paquete identifica en acoplamiento entre los dos puntos finales, y puede por lo tanto fingir ser un final del encaminamiento de la conexin
Re direccionamiento del router: re dirige la informacin del router del anfitrin original al anfitrin del hacker (sta es otra forma de ataque hombre-en-medio).
77
Routing de la fuente: re dirije los paquetes indviduales por el hacker y el "soofing oculto" predice las respuestas de un anfitrin, permitiendo el envo de ordenes, pero no puede conseguir una respuesta.
Flooding: El SYN (cdigo de paquetes del TCP) llena de direcciones al azar a la vctima; causando una respuesta inmediata de la vctima.37
21.
DNS Poissoning
El envenenamiento de DNS es una tcnica que engaa un servidor DNS dicindole que ha recibido la informacin autntica cuando, en la realidad, no lo es. Una vez el servidor de DNS se ha "envenenado", la informacin generalmente se esconde durante algn tiempo, mientras extiende el efecto del ataque a todos los usuarios del servidor.
Normalmente, una computadora conectada a Internet usa un servidor DNS proporcionado por el ISP del dueo del computador. Este servidor DNS generalmente sirve slo a los clientes propios del ISP y contiene una cantidad pequea de informacin del DNS en el cach de los usuarios anteriores del servidor (cuando se manejas IP's dinmicas). Un ataque de envenenamiento en un solo servidor DNS de un ISP puede afectar un gran nmero de usuarios, dependiendo de cuntos usuarios se encuentran esperando respuesta del servidor DNS comprometido.
Contenidos
36 37
http://www.wbglinks.net/pages/reads/ipspoof/inrtotoipspoofing.html http://www.iss.net/security_center/advice/Underground/Hacking/Methods/Tech nical/Spoofing/default.htm
78
Realizar un ataque de envenenamiento de cach (del usuario del DNS), el atacante se aprovecha de alguna falla en el software del DNS (o el isp) para que este pueda hacer que acepte informacin incorrecta. Si el servidor no valida las respuestas de DNS correctamente para asegurar que estos han venido de una fuente conocida, el servidor terminar estableciendo en el cach local entradas incorrectas y le servir a usuarios que hacen el mismo "pedido".
Esta tcnica puede usarse para reemplazar contenido arbitrariamente de una cantidad de vctimas con el contenido que el atacante escoja. Por ejemplo, el atacante envenena las entradas de DNS de las direcciones IP,
reemplazndolas con la direccin de IP de un servidor que l controla. l crea las entradas falsas para los archivos en el servidor que l controla con nombres que emparejen con los del servidor designado. Ah ya tiene puertas abiertas para infiltrar archivos que podran contener cdigo daino, como un gusano o un virus. Un usuario cuya computadora tiene el referente del servidor DNS envenenado pensar que el contenido de cierto archivo viene del servidor designado y seguro, y pues lo mas seguro es que el mismo sea victima de un ataque.
Prevencin
Los ataques de envenenamiento de cach se pueden prevenir simplemente aumentando la desconfianza en la informacin que le entra, aumentando la seguridad y mtodos de autenticacin. Tambin es importante que los DNS desconfen totalmente de otros DNS e ignoren los registros de usuarios pasados, ya que esto puede ser una fuente importante de ataques y de otros tipos de vulnerabilidades o bugs.
79
Este tipo de ataque tambin puede atenuarse en el nivel de transporte o en el nivel de aplicacin (refirindome al protocolo OSI de ISO TCP/IP), para realizar la comprobacin de punto a punto una vez que una conexin se establezca en un punto fijo, aqu es muy importante el protocolo TCP, ya que verifica que los datos entrantes sean correctos, y que lleguen en su totalidad, evitando a lo mximo ser alterados. Un ejemplo de esto sera el uso de firmas digitales, por ejemplo usando el protocolo https, se puede verificar el certificado digital dado por un servidor, aun as con el protocolo ssh y las ltimas variaciones de telnet (http 1.1) podra ser de gran ayuda. Tambin los sistemas de cifrado de la informacin son importantes para preservar la seguridad del contenido de la informacin, ya que no permiten desvos y forman mtodos aleatorios de encriptacin.
22.
DoS
DoS son las siglas de denial of service, o en espaol, negacin de servicio. Los ataques de negacin de servicio, como su nombre lo indica, son ataques que niegan algn servicio o el acceso al ordenador. Estos ataques de DoS anualmente cuestan a las empresas sumas multimillonarias de dinero y son una amenaza para cualquier sistema o red. Principalmente un ataque de negacin desorganiza o niega completamente el servicio a usuarios, redes, sistemas u otros recursos. La intencin de estos ataques normalmente son dainas y casi no requiere de habilidad informtica, ya que las herramientas para concluir un ataque de este tipo estn al alcance de cualquiera.
Uno de los primeros ataques de negacin ms famosos tuvo lugar en 1996. Un ISP (proveedor de servicio de Internet) a las afueras de Nueva York, Public Acces Networks (PANIX) fue aislado durante aproximadamente una semana, negando el acceso a Internet de alrededor 6,000 usuarios y 1,000 compaas.
80
Este ataque aprovecho una debilidad del protocolo TCP/IP y consigui el control de las peticiones SYN.
Una de las principales razones por las que se lanza un ataque DoS, frecuentemente es por la seguridad de una red o usuario que frustra las aspiraciones de un cracker inexperto. Este sintindose frustrado por su falla lanzara un ataque de negacin de servicio como ultimo recurso. Tambin, en muchas ocasiones, es necesario que el atacante realice un ataque de negacin de servicio para as vulnerar un sistema y poder acceder a este con mayor facilidad.
Muchos dispositivos de redes tienen defectos en sus pilas de red las cuales debilitan su capacidad para resistir ataques DoS, o tambin los protocolos de Internet contienen defectos de los cuales se pueden tomar ventaja y as lograr un ataque ptimo. Existen 4 principales tipos de ataques de negacion de servicio, el consumo de ancho de banda, los ataques genricos. Ataques DNS, y desbordamiento del buffer.38
22.1.
CONSUMO DE ANCHO DE BANDA
Este tipo de ataque de negacin esta principalmente dirigido a sobre saturar el ancho de banda de un mdem. Los crackers consumirn todo el ancho de banda disponible en una red para as dejarla sin recursos. En este ataque DoS, los crackers son capaces de inundar la conexin de red de la vctima, ya que tienen un mayor ancho de banda disponible, es decir, si un cracker que posee una conexin con un bando de ancha mayor (por decir 1MB) ataca a un usuario con un ancho de banda menor (por decir 56KB), este tendr la posibilidad de inundar el otro sistema consumiendo sus 56KB de ancho de banda sin que el
38
McClure, Stuart. Scambray, Joel. Kurtz, George. HACKERS secretos y soluciones para la seguridad de redes. Mc. Graw Hill. 2002
81
se niegue el servicio a si mismo, y as el tendr una diferencia de 44MB de recursos disponibles.
Ahora si el atacante no logra superar el ancho de banda de la vctima, tendr que utilizar un mtodo llamado amplificacin. Con este mtodo el cracker consigue unir una multitud de sitios, servidores, y ordenadores para as superar el ancho de banda de su vctima y conseguir un ataque de negacin efectivo.39
22.2.
ATAQUE DoS GENRICO
Este ataque DoS es capaz de afectar a muchos tipos diferentes de sistemas, por lo que se denominan genricos. Generalmente este tipo de ataque pertenece a la categora de ataques DoS de consumo de ancho de banda. Un elemento tpico de este tipo de ataque, es la manipulacin de distintos protocolos y asi tener la posibilidad de afectar a mas de un sistema que este conectado a este. Por ejemplo, los atacantes pueden utilizar un bombardeo de correo electrnico para enviar millares de mensajes al sistema de la vctima con el fin de consumir el total de su ancho de banda asi mismo que para reducir los recursos del servidor de correo electrnico. Este es un ejemplo de manipulacin del protocolo SMPT Y POP3.
Otro ejemplo de este tipo de ataque es el denominado "ping de la muerte", es este ataque un grupo grande de atacantes hace un ping a un servidor con el fin de conseguir una respuesta del servidor. Al unir todos estas peticiones, el sistema se sobre satura de informacion y se bloquea. El ping de la muerte fue el ataque utilizado hace algunos aos hacia la OTAN por varios crackers y hackers del mundo.40
39
McClure, Stuart. Scambray, Joel. Kurtz, George. HACKERS secretos y soluciones para la seguridad de redes. Mc. Graw Hill. 2002 40 McClure, Stuart. Scambray, Joel. Kurtz, George. HACKERS secretos y soluciones para la seguridad de redes. Mc. Graw Hill. 2002
82
22.3.
ATAQUES DNS
En 1997, el equipo de seguridad de Secure Networks Inc. (SNI), ahora Network associates Inc. (NAI), public ciertos consejos sobre las debilidades encontradas en implantaciones BIND. BIND permita falsear la informacin de cach cuando se activaba la recursin DNS. La recurcin permite que un servidor de nombres maneje peticiones por zonas o dominios a los que no sirve. Cuando un servidor de nombres reciba una consulta de una zona o dominio a la que no sirve, transmitir la peticin al correspondiente servidor de nombres del dominio especfico. Una vez que se recibe la respuesta del servidor de nombres correspondiente, el primer servidor de nombres la enviar finalmente al solicitante.
Desgraciadamente, cuando se activa la recursin en versiones vulnerables de BIND,
un atacante puede contaminar la cach del servidor de nombres realizando la bsqueda recursiva. Este proceso recibe el nombre de PTR record spoofing (falseo del registro PTR) y corromper el proceso de asignacin de direcciones IP a los nombres de hosts. Aunque existen implicaciones serias de seguridad relacionadas con la corrupcin de las relaciones que dependen de las bsquedas de nombres de hosts, tambin existir la posibilidad de realizar un ataque DoS DNS. Por ejemplo, los atacantes pueden tratar de convencer a un servidor de nombres objetivo de que relacione vww.empresaabc.com con 0.0.0.10, una direccin IP inexistente. Cuando los usuarios del servidor de nombres vulnerable deseen acceder a www.empresaa.bc.com, no recibirn
83
nunca una respuesta de 0.0.0.10, negndose as, efectivamente, el servicio a vww.empresaabc.com.41
22.4.
DESBORDAMIENTO DEL BUFFER
Los ataques de desbordamiento de buffer permiten a los atacantes la ejecucin de comandos arbitrarios en un sistema vctima. Se produce una situacin de desbordamiento de buffer cuando un usuario intenta introduce en el buffer una mayor cantidad de datos de los permitidos. Un desbordamiento de buffer normalmente provoca una violacin de la segmentacin. Esto puede provocar una sobre saturacin del buffer y as negar el sistema.42
23.
TELNET TELNET INVERSO
23.1.
Cada vez que se quiere entrar a un sistema remoto, tienen la posibilidad de establecer una puerta trasera en l sistema. Con algunos cdigos el cracker puede lograr entablar una conexin directa con el sistema y as poder realizar intrusiones posteriormente. Los mandatos a ejecutar son programas
previamente instalados que no necesitan la transferencia de ningn archivo. En el sub mundo se le llama a esto Telnet inverso, ya que esta tecnica utiliza telnet para conectarse al servidor de escucha (la puerta trasera), luego el cracker introduce los comandos desde una ventana en la corriente inversa de telnet, enviando la salida a la otra ventana.43
41
McClure, Stuart. Scambray, Joel. Kurtz, George. HACKERS secretos y soluciones para la seguridad de redes. Mc. Graw Hill. 2002 42 McClure, Stuart. Scambray, Joel. Kurtz, George. HACKERS secretos y soluciones para la seguridad de redes. Mc. Graw Hill. 2002
84
24.
INGENIERIA SOCIAL
Este puede parecer el mtodo ms sencillo y menos til de penetrar en un sistema o adquirir una contrasea, pero no es as, la ingeniera social es el mtodo ms til que no explota bugs de los sistemas, sino a los ingenuos. Bsicamente se denomina ingeniera social a todo artilugio, tretas y tcnicas ms elaboradas a travs del engao de las personas en revelar contraseas u otra informacin.
La ingeniera social se establece en la parte mas dbil de cualquier sistema de seguridad, el ingenio, o mas bien, la falta de ingenio. Se dice a menudo que la nica computadora segura es aquella que nunca ser encendida. Con la ingeniera social se puede demostrar totalmente lo contrario el hecho que usted pudiera persuadir a alguien para que le suministre su numero de tarjeta de crdito, puede sonar como un algo poco factible, sin embargo al suministra datos confidenciales diariamente en distintos medios, como el papel que arroja a la basura o el papel donde escribi su contrasea. Tambin el factor humano es una parte esencial del juego de seguridad no existe un sistema informtico que no dependa de algn dato ingresado por un operador humano. Esto significa que esta debilidad de seguridad es universal, independiente del sistema operativo, software, red o antigedad del equipo.
La falta de educacin de las personas son la falla mas grande de cualquier sistema, el esconderle informacin de algn tipo a los usuarios puede llegar a convertirse en la ventaja mas grande de un cracker al atacar. Cada ser humano tiene las herramientas para intentar un "ataque" de ingeniera social, en el "ataque", la nica diferencia es la habilidad y conocimientos al hacer el uso de estas herramientas, su propio ingenio y habilidad de persuasin.
43
McClure, Stuart. Scambray, Joel. Kurtz, George. HACKERS secretos y
85
Existen dos mtodos para cumplir con la ingeniera social:
Demanda directa, donde a la vctima se le pide completar su tarea directamente. Aunque probablemente tenga menor xito, ste es el mtodo ms fcil y el ms sincero. La vctima sabe lo que usted quiere que ellos hagan exactamente.
Ejecucin indirecta, es una situacin previamente ideada donde la victima es simplemente una parte de la misma. El mismo puede ser persuadido porque cree en las razones suministradas. Esto involucra mucho ms trabajo para la persona que hace el esfuerzo de la persuasin, y casi ciertamente se involucra obteniendo un conocimiento extenso del objetivo. Esto no significa que las situaciones no tienen que ser basadas en hecho real. Cuando menos falsedades, mayor la facilidad de acertar.
Sin embargo, el xito depende mucho de cmo est involucrada, la persona a la que usted le pida informacin sobre su objetivo. Nosotros podemos definir a los administradores del sistema, analistas de seguridad, tcnicos, las personas a las que se le confan herramientas de trabajo esenciales o comunicacin, estn muy envueltas en los ataques diseados por otros expertos de las computadoras. Se clasifican las personas con nivel bajo si ellos tienen el inters muy pequeo en qu usted est pidindoles que hagan. Los ejemplos pertinentes podran ser los guardias, limpiadores, o recepcionistas con acceso a computadora. Porque no es probable que las personas de bajo envolvimiento se sientan afectadas directamente por una demanda, ellos tienden a no molestarse analizando una peticin. En cambio es comn para una decisin estar de acuerdo con su demanda. Tal informacin podra ser simplemente el nmero de razones que el ingeniero social enumera, la urgencia clara de la demanda o el estado de la persona que intenta realizar la persuasin. Bsicamente, las personas que no soluciones para la seguridad de redes. Mc. Graw Hill. 2002
86
conocen el razonamiento de un ingeniero social, se persuadirn ms por el nmero de argumentos o demandas en lugar de verificar la factibilidad de cmo debern ser resueltas.44
Capitulo 3 (Mtodos de defensa)
25.
Introduccin
Es tradicional que en todo lo bueno exista algo malo y viceversa, y esta no es la excepcin. En el segundo capitulo se pudo ver los problemas que estn presentes cada vez que nos encontramos frente a un ordenador o conectados a Internet y por eso para mantener el status quo de esta sociedad estn los
44
www.rompecadenas.com.ar/ingsocial.htm
87
vigilantes y la polica de Internet. Pero quienes son ellos?, como se pudo apreciar en el primer capitulo, los hackers en su mayora son los protectores de esta sociedad. Sus habilidades y su gran valor tico consagran a estas personas como los guardianes, aunque el nombre se ha manchado por muchos ellos seguirn en su camino. Estos protectores no solo son simples aficionados con grandes habilidades, los hackers se encuentran desde lo mas alto del FBI hasta en la casa del vecino. Este tercer capitulo intentara aclarar varias dudas sobre el funcionamiento de las herramientas y de las estrategias utilizadas para defender una maquina en este mundo tan hostil.
Es una realidad, como en la mayora de los casos, los criminales estn un paso mas adelante, pero las autoridades los siguen muy de cerca. Un ordenador nuca estar seguro y esto es lo que se intenta evitar, por eso existen grandes compaas que tiene4n por nico objetivo controlar estas desdichas.
26.
ANTIVIRUS
El antivirus es la herramienta ms conocida para protegerse de las amenazas de la red. Hoy en da los antivirus incorporan diversas funcionalidades, que cubren un gran campo de accin: trabajan en segundo plano, permiten escanear archivos adjuntos en e-mails y rastrear y eliminar virus de macro, adems de las otras clases existentes. Los antivirus en un comienzo eran especializados, como lo dice su nombre, en escanear y eliminar las diferentes clases de virus, pero pocos aos despus un gran cantidad de amenazas de las cuales era necesario protegerse aparecieron en la red. Desde este punto los antivirus crearon diversas herramientas para evitar estas amenazas como los spams y algunos tipos de DoS que son instalados en los ordenadores en forma de fichero. Los antivirus se han convertido en una utilidad de gran necesidad y aprobacin por los usuarios ya que es la nica herramienta que es capaz de detectar y eliminar los virus.
88
26.1.
HEURISTICA Y FUNCIONAMIENTO DEL ANTIVISUS
La mayora de los virus informticos generan alteraciones en los sistemas para poder arrancar desde un fichero o desde alguna instruccin. Una interrupcin es el modo que tiene un programa ensamblador de ejecutar servicios y funciones del BIOS (Basic Input Output System, ms conocido como la ROM) y el DOS. La mayora de los virus 'interceptan' estas interrupciones de modo que cada vez que se ejecuta uno de dichos servicios el virus supervisa lo que est haciendo el programa que ejecut la interrupcin, a este proceso se le denomina 'instalar un gestor de interrupcin'.
Este es el mtodo en el que los virus funcionan, cuando el antivirus ve estar irregularidades puede definir la presencia del virus. Como existen
interrupciones que son muy poco ocupadas por programas convencionales y que son bastante recurridas por un virus, tambin hay partes de cdigo que son caractersticas de virus, por ejemplo para qu querra un programa convencional copiarse a si mismo, esto estara en un cdigo comn y corriente? o no crees que es sospechoso que un programa verifique si un archivo comienza con ciertos bits que lo identifican como .exe? Estas caractersticas han ayudado en gran parte al avance de los antivirus y cada da es mas sencillo identificarlos.45
Las tcnicas heursticas nacen de la necesidad de una deteccin genrica de los virus informticos. Se llama deteccin genrica a la posibilidad de detectar cualquier virus an sin haberlo analizado antes y sin estar en la base de datos del antivirus que se est considerando. Esto pareciera que carece de sentido pero es tan simple como buscar instrucciones comunes de los virus para advertir de la posibilidad de que un archivo o programa est infectado. .
45
http://www.siempreon.com/hack/Virus/Curso1/curso1.html
89
Cuando analizamos las primeras instrucciones de cualquier archivo, veremos instrucciones para detectar los parmetros de la lnea de comandos, borrar la pantalla, llamar a alguna funcin, ejecutar alguna macro, etc. No obstante tratndose de un virus suelen ser otras bien diferentes como activar el cuerpo del virus o buscar ms archivos para intentar implantarles su cdigo. La experiencia es sin duda lo que lleva a una persona a reconocer algo infectado de algo limpio en cuestin de segundos. Esa experiencia se ha pretendido introducir en los programas antivirus bajo el nombre de heurstica. El funcionamiento de la heurstica es sencillo, primero se analiza cada programa sospechoso sin ejecutar las instrucciones, lo que hace es desensamblar o "descompilar" el cdigo de mquina para deducir que hara el programa si se ejecutara. Avisando que el programa tiene instrucciones para hacer algo que es raro en un programa normal, pero que es comn en un virus. Sin duda el principal problema de las tcnicas heursticas ha sido los falsos positivos. A pesar de que se han mejorado mucho en los ltimos aos, siguen sin conseguir demasiada efectividad (aunque hay algunas excepciones). El problema ms que en la calidad de la rutina heurstica est en la interpretacin que el usuario realice de ese aviso heurstico. Si es poco experimentado estar constantemente mandando muestras a su casa de antivirus ya que el antivirus le dijo que poda tener un virus.
Entendiendo la Heurstica como un indicador de probabilidad de contagio, esto nos lleva a considerarla como un sistema de deteccin mejorada que al incluirla en los antivirus nos permite establecer un sistema de alerta y de prevencin ante la aparicin de mutaciones de virus o de nuevos virus.
Esta tcnica permite "barrer" diferentes tipos de cdigos dentro de los archivos, que sean susceptibles de ser malignos. Cdigos que son genricos dentro de los archivos maliciosos y que siempre suelen ser parecidos. O por lo menos respetar parte de las cadenas de comandos que activan los virus.
90
Pero cmo funciona la heuristica en un antivirus? Los virus tienen patrones de cdigos que son como sus "huellas digitales". Los software antivirus buscan estos patrones, pero slo de los que tienen almacenados en su lista (por esto la actualizacin es tan importante). Estos productos tambin pueden valerse de la heurstica, es decir, analizan los archivos para detectar comportamientos similares a los de los virus.
Cada da crece el nmero de nuevos virus y la alternativa para poder neutralizarlos, sin haber programado antes el antivirus para su reconocimiento, es la denominada bsqueda heurstica. A travs de ella, el programa antivirus analiza el cdigo de los programas buscando instrucciones, acciones sospechosas o indicios que delaten la presencia de virus en la computadora, de acuerdo a los patrones habituales empleados por los cdigos maliciosos. El mtodo Heurstico es una tecnologa de programacin que dentro de sus rutinas de deteccin de especies virales, incluye las cadenas clsicas que son similares, parecidas o afines a virus autnticos. El mtodo heurstico, si no est bien programado, es susceptible de incurrir en resultados falsos positivos o negativos. Adems, al encontrar un virus desconocido, variante de otro existente, el antivirus que emplea este mtodo de bsqueda no podr eliminar eficientemente el virus y mucho menos reparar el archivo o rea afectada.
Para que un antivirus detecte y elimine eficientemente a un virus as como tambin repare los daos ocasionados, debe incluir en la base de datos de sus rutinas de deteccin y eliminacin el exacto micro cdigo viral de esa especie. Sin embargo la tcnica de bsqueda heurstica de virus por "familias" es una forma eficiente de detectar a especies virales que pertenecen a una misma familia, aunque no es un mtodo absolutamente exacto o eficiente.46
26.2.
46
SINTOMAS
http://www.zonavirus.com/Detalle_ARTICULO.asp?ARTICULO=19
91
Reduccin del espacio libre en la memoria o disco duro. Un virus, cuando entra en un ordenador, debe situarse obligatoriamente en la memoria RAM , y por ello ocupa una porcin de ella. Por tanto, el tamao til operativo de la memoria se reduce en la misma cuanta que tiene el cdigo del virus. Aparicin de mensajes de error no comunes. En algunos sistemas Operativos mas antiguos, los mensajes de error eran muy comunes, por eso algunos virus aprovechaban esto para ejercer una operacin no admitida q finalizara en mensaje de error. Fallos en la ejecucin de programas. Al abrir alguna aplicacin es muy
probable que esta este daada o modificada por el virus. Frecuentes cadas del sistema. El sistema puede presentar fallos que pueden generar cadas del sistema, algunos virus son los culpables de producir estos fallos. Tiempos de carga mayores. Ya que para que el virus funciones, este necesita pasar primero por un proceso de carga que aumentara el tiempo de iniciacin de algunas aplicaciones. Las operaciones rutinarias se realizan con mas lentitud. Aparicin de programas residentes en memoria desconocidos. Estos programas pueden ser el mismo virus que se esta ejecutando en un primer plano. Actividad y comportamientos inusuales de la pantalla. Muchos de los virus eligen el sistema de vdeo para notificar al usuario su presencia en el ordenador. Cualquier desajuste de la pantalla, o de los caracteres de esta nos puede notificar la presencia de un virus. El disco duro aparece con sectores en mal estado. Algunos virus usan sectores del disco para camuflarse, lo que hace que aparezcan como daados o inoperativos. Cambios en las caractersticas de los ficheros ejecutables. Casi todos los virus de fichero, aumentan el tamao de un fichero ejecutable cuando lo infectan.
92
Tambin puede pasar, si el virus no ha sido programado por un experto, que cambien la fecha del fichero a la fecha de infeccin. Aparicin de anomalas en el teclado: Existen algunos virus que definen ciertas teclas que al ser pulsadas, realizan acciones perniciosas en el ordenador. Tambin suele ser comn el cambio de la configuracin de las teclas, por la del pas donde se programo el virus.47
26.3.
Laboratorios de antivirus
El trabajo de un laboratorio, por pasos
1.- Detectar el virus.
2.- Abrirlo y analizarlo.
3.- Ejecutarlo y ver qu dao es capaz de hacer.
4.- Crear la vacuna.
Deteccin de virus
El proceso que va desde detectar el virus hasta lograr una vacuna dura una media de 3 4 horas. En ese tiempo el personal del laboratorio de investigacin de virus trabaja a toda velocidad y realiza mltiples tareas.
Los medios internacionales de contacto, los clientes y las utilidades de anlisis son indispensables para que una compaa antivirus consiga la informacin sobre una nueva plaga.
47
93
Los usuarios que tienen sospechas de tener un virus, se conectan a la web y esta herramienta analiza sus equipos. Adems, como este software les pide el lugar desde dnde se estn enganchando, aqu se obtiene una informacin muy importante: saber el contenido vrico de cada pas. A parte, Active Scan les permite recibir virus procedentes de todos los pases.
Otro de los medios de recepcin son los clientes, que cada vez que encuentran un cdigo vrico sospechoso dentro de un equipo, lo envan, por medio de los propios antivirus, al departamento de anlisis.
Los virus ms complejos de desensamblar son los polimrficos, que en cada infeccin que realizan se cifran de una forma distinta. De esta forma, generan una elevada cantidad de copias de s mismos.
Un laboratorio antivirus puede recibir de 12 a 14 virus nuevos todos los das.
Un laboratorio, ante un virus muy peligroso, puede llegar a probarlo en 60 mquinas. Y tener trabajando en l a cien personas.
Abrir y ejecutar el virus
Los tcnicos que trabajan en el laboratorio, una vez han recibido el virus, lo que hacen es desensamblarlo, abrir la parte interna de su cdigo. Utilizan unas herramientas especiales que realizan esa tarea.
A partir de aqu, los investigadores tienen una idea de si lo que han recibido es un virus, si no lo es, si es un cdigo maligno o si es algo que est atacando las vulnerabilidades de un determinado software.
94
Esto les sirve para poder prever cules son los payloads, es decir, las acciones malignas que puede realizar el virus. Pero lo que todava no saben es lo que es capaz de realizar, y no lo averiguarn hasta que no lo ejecuten.
Por lo tanto, en el siguiente paso el investigador se convierte en un usuario y ejecuta el cdigo vrico de la misma forma que lo hara ste.
Los investigadores van analizando el virus para ver dnde se deposita, qu es lo que hace, que modificaciones tiene, en definitiva, los payloads.
Los profesionales observan las acciones malignas del cdigo vrico y despus las escriben, describiendo cules son y cmo estn hechas. Es en este momento, cuando entra en accin el departamento de desarrollo. El cual se encarga de conseguir una vacuna que acote esas acciones malignas, y que ese virus se pueda reconocer de forma inequvoca con respecto a todos los cdigos que poseen los ordenadores normalmente.
La llegada del antdoto
Tras ejecutar y observar los payloads, el siguiente paso es generar la informacin necesaria para que los departamentos de Marketing y
Comunicacin de la empresa antivirus sean capaces de informar sobre la plaga y de cuales son sus acciones malignas.
Por otra parte los usuarios que hayan resultado infectados, en el periodo de tiempo que el laboratorio ha estado trabajando, se crea el PQRemove, una herramienta para acabar con el virus concreto que haya infectado el equipo del usuario.
95
Ese periodo de tiempo depende del tipo de virus. Puede ser de un par de horas hasta bastantes ms si el virus es muy complicado, como puede ser en el caso de los polimrficos. 48
27.
FIREWALLS
Un cortafuego, o como es llamado en ingles, firewall, es un sistema informtico o un grupo de sistemas informticos que refuerzan seguridad de la informacin entre dos redes. Estas redes se refieren como una red interna y red exterior.
Toda la informacin que pasa entre estas dos redes pasa a travs del cortafuego. Esto hace al cortafuegos un punto ideal para implementar filtrado, supervicion y registro de sesiones entre una red y otra.
El cortafuego le protege contra ataques del sistema de informacin del exterior, pero tambin puede proteger sistemas externos contra los ataques que se originan dentro de su red.
Pero un cortafuego no puede protegerle contra todos los ataques de afuera, ni contra los ataques que vienen desde adentro de su propia red, ni de otros mtodos de la piratera (hurto de los medios de la computadora, del etc) o de otras formas de hostilidad.
Hay dos categoras principales de cortafuegos: cortafuegos basados en la filtracin del paquete y aplication based firewalls.
Paquete-tipo cortafuegos:
48
http://www.terra.es/tecnologia/articulo/html/tec10175.htm
96
Un paquete-tipo cortafuego filtra simplemente la informacin que transita entre las dos redes con las cuales est conectada. Para hacer esto, el cortafuego utiliza los protocolos empleados en las dos redes (TCP/IP, IPX/SPX, Appletalk, etc): tiene que saber la estructura de estos protocolos de modo que pueda filtrar datos dentro de ellos. Hoy, tales sistemas de filtracin se construyen cada vez ms a menudo en los routers. Y esto es una localizacin natural para el filtrado, porque un router es un punto de la interconexin entre dos redes. Pero esta categora del cortafuego no sabe la estructura de los intercambios de los datos entre diversos servicios (ftp, correo, el Web, etc). Este tipo de cortafuego sabe solamente protocolos de red.
Ventajas:
Este tipo de cortafuego es transparente: las aplicaciones no tienen que ser vueltos a trabajar para aprovecharse de ellos (usted podra decir que son plug and play).
En
muchos
casos,
el
grado
de
seguridad
proporcionado
es
perfectamente adecuado.
Son baratos.
Usted puede filtrar cualquier servicio construido alrededor de los protocolos de red apoyados por el cortafuego.
Desventajas:
Usted tiene que ser a fondo familiar con la red que se proteger, y con los protocolos usados en esta red.
97
No hay autentificacin del usuario; la filtracin se basa en la direccin de red del sistema del hardware.
La filtracin del paquete no encubre la arquitectura interna de la red.
Con DHCP, las direcciones del IP no son fijas: el sistema del hardware puede tener un diverso IP address cada vez que se comienza el sistema.
Una computadora comprometida en la red de rea local puede penetrar el cortafuego (porque se cree un ordenador seguro).
El cortafuego no da la proteccin contra debilidades inherentes en servicios sin filtro.
Usted no puede registrar los registros de sesiones individuales: el cortafuego no comprende los datos intercambiados por servicios (tales como los datos de una sesin del telnet).
Aplication based firewalls:
Un aplication based firewall es un sistema del hardware en el cual el servidor para cada servicio se ha reconstruido (ftp, Web, etc). Los clientes no se conectan directamente con la red exterior, en vez de eso, ellos pasan a travs del cortafuego. El cortafuego despus establece una conexin con la red exterior para el cliente, enva peticiones, recibe respuestas, las analiza y despus las retransmite al cliente dentro de la red interna.
Tal cortafuego da buena seguridad, porque la supervisin ocurre en el nivel de la aplicacin. Esto lo hace ms flexible y de gran alcance . Si una conexin entre la red interna y la red exterior es atacada, slo la conexin entre el
98
atacante y el cortafuego ser atacada. As, solamente el cortafuego puede ser comprometido. Si el cortafuego es superado por un ataque, el ataque se nota generalmente muy rpidamente.
Ventajas:
Las reglas de la seguridad son fciles de definir.
Se pone en ejecucin la autentificacin del usuario.
La arquitectura interna de la red puede ser encubierta, porque todas las conexiones a la red exterior pasan a travs del cortafuego.
Hay conversin de direccin entre la red interna y la red exterior.
Usted consigue numerosos "log files" y muy detallados.
Desventajas:
Tales sistemas son costosos: requieren el hardware y el software.
Son demasiado poderosos para las redes pequeas.
Usted necesita software especial del cliente para aprovechar el cortafuego.
No hay ayuda para los nuevos servicios.
La administracin del sistema es ms exigente que con el paquete-tipo cortafuegos.
99
Filtrado de paquetes.
La filtracin del paquete le deja definir las reglas de filtracin basadas en listas del acceso. Estas reglas de filtracin pueden diferenciar para el interfaz de la entrada y el interfaz de la salida del cortafuego. As, el administrador de la red puede especificar diversas reglas y listas del acceso para las conexiones de la red interna a la red exterior, y viceversa. De esta manera, usted puede restringir el acceso a la red interna sin la limitacin del acceso a la red exterior.
Cuando los datos que vienen a partir de una red a otra desobedecen las reglas de filtracin fijadas por el administrador de la red, en este caso se pueden tomar varias decisiones: destruir el paquete, enviar un mensaje de error al remitente o alertar al administrador de la red. Cmo se puede filtrar un servicio especifico? Cada servicio en el Internet se basa en un nmero de acceso de TCP o de UPD (dependiendo del servicio). Un programa sobre el servidor escucha un nmero de acceso especfico del TCP o del UDP, cuando los datos se envan a este puerto, el software del servidor los procesa y enva una respuesta. Para filtrar un servicio, se filtra justo el nmero de acceso correspondiente del TCP o del UDP.49
28.
PROXIES Y STEALTH
Un aspecto polmico y curioso de Internet es la posibilidad de utilizar la red en forma annima o cuestionar la ausencia de anonimato. Voy a tratar de aportar alguna informacin sobre los aspectos ms candentes de este asunto. Cuando navegamos, es frecuente que vayamos dejando muchos rastros respecto a lo que hacemos. Quiz a algunos no les importe todo esto, a otros s que les preocupar. En primer lugar los sitios que visitamos son registrados en la
49
www.elabs.fr/indexuk/tutorial_firewall.htm
100
propia mquina, en nuestro propio ordenador. Muchas pginas Web incorporan formularios con casillas en las que escribir tus datos. Esto se emplea para fines muy diversos: desde suscribirse a listas de distribucin, hasta agregarse a una protesta contra las tarifas telefnicas o realizar la compra de un producto. De entrada debes ser muy precavido respecto a difundir as informacin personal, puesto que normalmente no tenemos ninguna garanta sobre el uso que se har de esa informacin. Uno de los datos puede ser la direccin de correo electrnico; luego no te sorprendas si recibes mensajes comerciales masivos ("spam") o tienes problemas ms graves. Los formularios solo deben
emplearse utilizando conexiones seguras realizadas hacia sitios de garanta. Las ltimas versiones de los navegadores informan claramente sobre la seguridad de la transmisin o la ausencia de esta caracterstica. Si la conexin no es segura, cualquiera que est husmeando por Internet puede interceptar esa informacin y utilizarla luego para otros fines.
Cada vez que nos conectamos a un sitio Web, ste conoce automticamente nuestra direccin IP, nombre de mquina, la pgina desde la que procedemos y a veces incluso nuestra direccin de correo electrnico. De ah en adelante, depender del servidor y de su poltica sobre intimidad lo que se har con esa informacin. Con ayuda de las cookies se puede personalizar an ms la informacin recabada acerca de los visitantes, registrando las pginas ms visitadas, nuestras preferencias, dnde hemos estado, tiempo de la visita, etc. Con todos estos elementos se pueden confeccionar perfiles de usuario cada vez ms exhaustivos y detallados, con informacin muy personal que puede adquirir un valor considerable en manos de casas publicitarias, y por la que se paga dinero. Por todo lo dicho, existen muchas situaciones en las que convendra navegar annimamente sin dejar trazas de nuestra identidad, ya que con estos datos y mediante programas de bsqueda de personas por su direccin de correo, se
101
puede obtener la identidad del cibernauta, incluyendo su nmero de telfono, direccin, y ms.50
Anonimizadores
El servicio de anonimato acta como un filtro de seguridad entre tu navegador y el sitio Web que deseas visitar. Te conectas al anonimizador, introduces el URL al que deseas ir, entonces ste se adentra en la Red en busca de la pgina que deseas ver y te la muestra. Si posteriormente vas siguiendo enlaces de una pgina a otra, se presentarn asimismo a travs del anonimizador. Sus inconvenientes: No funcionan con todos los sitios ni con los servidores seguros. Tampoco se reciben cookies (lo cual para algunos representa ms bien un alivio). Desactivan todos los programas en Java, JavaScript, etc. (de nuevo, ventaja o inconveniente segn para quin). Ralentizan la navegacin. Para un servicio ptimo hay que pagar. Aaden a las pginas que visitamos banners con publicidad de sus patrocinadores.51
Proxies
Los proxies primero fueron inventados para acelerar conexiones del Internet. Y as es como trabajan: Usted se est intentando conectar con un servidor en el otro lado del planeta. Sus peticiones del HTTP se envan a su proxy server, que est situado en la jefatura del ISP's, que estn mucho ms cercano a usted que ese servidor lejano. El proxie primero chequea primero si uno de usuarios ha tenido acceso a esta pagina web ltimamente. Si es as debe tener una copia
50
http://www.a1dominios.com
102
de l en alguna parte en los servidores de este. Entonces el proxy server comienza la conexin solamente al chequeo, si su versin no es anticuada, que requiere solamente mirar el tamao del archivo. Si tiene la ltima versin, le enviar el archivo, en vez de tener hacer que el servidor lejano se lo enve, y as acelera la conexin. Si no, descargar los archivos solicitados por s mismo y despus se los enviar. Pero los proxies se pueden tambin utilizar como anonimizadores mientras que navega por Internet, porque manejan todas las peticiones del HTTP para usted. La mayora de las ocasiones son que su ISP tiene un proxie. Pero los problemas con el acceso del proxie dado a usted por su ISP son: 1. Algunos ISPs incluso no tiene proxies. 2. El dueo de la pagina web todava podra saber qu ISP usted est utilizando y dnde reside usted, puesto que esta clase de proxies no son pblicos y ella puede ser alcanzada solamente por los usuarios de eso ISP.52
29.
CYPTOLOGIA
Del Antiguo Egipto a la era digital, los mensajes cifrados han jugado un papel destacado en la Historia. Arma de militares, diplomticos y espas, son la mejor defensa de las comunicaciones y datos que viajan por Internet.
Esclavos con textos grabados en su cuero cabelludo, alfabetos de extraos smbolos, escritos de tinta simptica, secuencias interminables de nmeros... Desde la Antigedad, el hombre ha hecho gala de su ingenio para garantizar la confidencialidad de sus comunicaciones. La criptografa (del griego kryptos, "escondido", y graphein, "escribir"), el arte de enmascarar los mensajes con signos convencionales, que slo cobran sentido a la luz de una clave secreta, naci con la escritura. Su rastro se encuentra ya en las tablas cuneiformes, y los papiros demuestran que los primeros egipcios, hebreos, babilonios y asirios
51
R a v e N, The Anonymity Tutorial. blacksun.box.sk. 2000
103
conocieron y aplicaron sus inescrutables tcnicas, que alcanzan hoy su mxima expresin gracias al desarrollo de los sistemas informticos y de las redes mundiales de comunicacin.
Entre el Antiguo Egipto e Internet, los criptogramas han protagonizado buena parte de los grandes episodios histricos y un sinfn de ancdotas. Existen mensajes cifrados entre los 64 artculos del Kamasutra, el manual ertico hind del Vatsyayana, abundan en los textos diplomticos, pueblan las rdenes militares en tiempos de guerra y, por supuesto, son la esencia de la actividad de los espas.
Criptografa de clave secreta
En los cifrados de clave secreta, la seguridad depende de un secreto compartido exclusivamente por emisor y receptor.
La principal amenaza criptoanaltica proviene de la alta redundancia de la fuente. Shannon sugiri por ello dos mtodos bsicos para frustrar un criptoanlisis estadstico: la difusin y la confusin.
El propsito de la difusin consiste en anular la influencia de la redundancia de la fuente sobre el texto cifrado. Hay dos formas de conseguirlo. La primera, conocida como transposicin, evita los criptoanlisis basados en las frecuencias de las n-palabras. La otra manera consiste en hacer que cada letra del texto cifrado dependa de un gran nmero de letras del texto original.
El objetivo de la confusin consiste en hacer que la relacin entre la clave y el texto cifrado sea lo ms compleja posible, haciendo as que las estadsticas del texto cifrado no estn muy influidas por las del texto original. Eso se consigue
52
104
normalmente con la tcnica de la sustitucin. En solitario, ni confusin ni difusin constituyen buenas tcnicas de cifrado.
Cifrado en bloque, DES
Independientemente de la clasificacin realizada en el apartado anterior segn la fuente que genera el texto, los cifrados simtricos se pueden clasificar en dos grandes grupos: los correspondientes a fuentes que generan n-palabras y los correspondientes a fuentes que generan letras. En el primer caso se habla de cifrados en bloque y en el segundo de cifrados en flujo.
El cifrado en bloque opera sobre textos formados por n-palabras, convirtiendo cada una de ellas en una nueva n-palabra.
Sin duda el cifrado en bloque ms conocido es el llamado DES. Este sistema se puede catalogar como un cifrado en bloque que es a la vez un cifrado producto de transposiciones y sustituciones.
A finales de los aos cuarenta, Shannnon sugiri nuevas ideas para futuros sistemas de cifrado. Sus sugerencias se referan al uso de operaciones mltiples que mezclaran transposiciones y sustituciones. Estas ideas fueron aprovechadas por IBM en los aos setenta, cuando desarroll un nuevo sistema llamado LUCIFER. Poco despus en 1976, el gobierno de EEUU adopt como estndar un sistema de cifrado basado en el LUCIFER y denominado DES (Data Encryption Standard). En consecuencia casi todos los gobiernos del mundo aceptaron el mismo cifrado o parte de l como estndar en las comunicaciones de las redes bancarias y comerciales.
En el DES, el bloque de entrada M en primer lugar sufre una transposicin bajo una permutacin denominado IP, originando To=IP(M). Despus de pasar To
105
diecisis veces por una funcin f, se transpone bajo la permutacin inversa IP', obtenindose as el resultado final.
Criptografa de clave publica
En los cifrados asimtricos o de clave pblica la clave de descifrado no se puede calcular a partir de la de cifrado.
En 1975, dos ingenieros electrnicos de la Universidad de Stanford, Whitfield Diffie y Martin Hellman, sugieren usar problemas computacionalmente irresolubles para el diseo de criptosistemas seguros. La idea consiste bsicamente en encontrar un sistema de cifrado computacionalmente fcil (o al menos no difcil), de tal manera que el descifrado sea, por el contrario, computacionalmente irresoluble a menos que se conozca la clave. Para ello, hay que usar una transformacin criptogrfica Tk de fcil aplicacin, pero de tal forma que sea muy difcil hallar la transformacin inversa Tk' sin la clave de descifrado. Dicha funcin Tk es, desde el punto de vista computacional, no invertible sin cierta informacin adicional (clave de descifrado) y se llama funcin de una va o funcin trampa.
En estos esquemas se utiliza una clave de cifrado (clave pblica) k que determina la funcin trampa Tk, y una clave de descifrado (clave secreta o privada) que permite el clculo de la inversa Tk'.
Cualquier usuario puede cifrar usando la clave pblica, pero slo aquellos que conozcan la clave secreta pueden descifrar correctamente.
En consonancia con el espritu de la criptografa moderna, y tal cmo suceda en los sistemas simtricos, los algoritmos de cifrado y de descifrado son pblicos, por lo que la seguridad del sistema se basa nicamente en la clave de descifrado.
106
Sistemas RSA
La seguridad del RSA se basa en el hecho de que no existe una forma eficiente de factorizar nmeros que sean productos de dos grandes primos.
Fue desarrollado en 1977 por Ronald Rivest, Adi Shamir y Leonard Adleman, de ah el nombre de RSA, que corresponde a las iniciales de los apellidos de sus autores. 53
30.
FIRMAS Y PRIVASIDAD
Una firma digital es un conjunto de datos asociados a un mensaje que permite asegurar la identidad del firmante y la integridad del mensaje. La firma digital no implica que el mensaje est cifrado, esto es, un mensaje firmado ser legible en funcin de que est o no cifrado.
El firmante generar mediante una funcin, un 'resumen' o huella digital del mensaje. Este resumen o huella digital la cifrar con su clave privada y el resultado es lo que se denomina firma digital, que enviar adjunta al mensaje original.
Cualquier receptor del mensaje podr comprobar que el mensaje no fue modificado desde su creacin porque podr generar el mismo resumen o misma huella digital aplicando la misma funcin al mensaje. Adems podr comprobar su autora, descifrando la firma digital con la clave pblica del firmante, lo que dar como resultado de nuevo el resumen o huella digital del mensaje.
53
http://rinconquevedo.iespana.es/rinconquevedo/Criptografia/criptografia.htm
107
Las huellas digitales son un conjunto de datos asociados a un mensaje que permiten asegurar que el mensaje no fue modificado.
La huella digital o resumen de un mensaje se obtiene aplicando una funcin, denominada hash, a ese mensaje, esto da como resultado un conjunto de datos singular de longitud fija.
Una funcin hash tiene entre otras las siguientes propiedades:
Dos mensajes iguales producen huellas digitales iguales. Dos mensajes parecidos producen huellas digitales completamente diferentes. Dos huellas digitales idnticas pueden ser el resultado de dos mensajes iguales o de dos mensajes completamente diferentes. Una funcin hash es irreversible, no se puede deshacer, por tanto su comprobacin se realizar aplicando de nuevo la misma funcin hash al mensaje.
Las firmas digitales tienen diferentes funciones:
Autentificar la identidad del usuario, de forma electrnica, ante terceros.
Firmar digitalmente de forma que se garantice la integridad de los datos trasmitidos y su procedencia.
Cifrar datos para que slo el destinatario del documento pueda acceder a su contenido.
El uso de un certificado nos garantiza:
1) La identidad del emisor y del receptor de la informacin (autentificacin de las partes)
108
2) Que el mensaje no ha sido manipulado durante el envo (integridad de la transaccin)
3) Que slo emisor y receptor vean la informacin (confidencialidad)
4) Que el titular de un mensaje no pueda negar que efectivamente lo firm (norepudio)
31. CONCLUSIONES
Como pudimos ver en este proyecto, el uso de Internet y de ordenadores no es confiable, existen varios mtodos para hacer la estada en la red ms agradable, peor aun as las amenazas siguen existiendo. Otro factor importante es el econmico, una gran parte de las empresas diseadoras de software cobra por sus productos y su informacin. Este aspecto hace aumentar el ndice de criminalidad en la red ya que muchos de los criminales pelean por la libre informacin.
Internet es una sociedad muy grande y compleja, muchos generalizan a todos sus habitantes por los que ms sobresalen, es decir los que tienen fines maliciosos, los crackers, por eso no debemos generalizar a todas las personas de esta comunidad. Como pudimos ver en el primer captulo y parte del tercero, en esta comunidad de Internet tambin existe gente con fines beneficiosos para esta sociedad, los hackers.
Mi consejo para todos los usuarios de Internet es que aprendan y salgan de la ignorancia ya que esta es la principal herramienta de muchos crackers, aprovecharse de la ingenuidad de las personas.
109
BIBLIOGRAFA
http://rinconquevedo.iespana.es/rinconquevedo/Criptografia/cri ptografia.htm
R a v e N, The Anonymity Tutorial. blacksun.box.sk. 2000
www.elabs.fr/indexuk/tutorial_firewall.htm
http://www.terra.es/tecnologia/articulo/html/tec10175.htm
http://www.siempreon.com/hack/Virus/Curso1/curso1.html
www.rompecadenas.com.ar/ingsocial.htm
McClure, Stuart. Scambray, Joel. Kurtz, George. HACKERS
secretos y soluciones para la seguridad de redes. Mc. Graw Hill. 2002
http://www.iss.net/security_center/advice/Underground/Hacking/
Methods/Technical/Spoofing/default.htm
110
http://www.wbglinks.net/pages/reads/ipspoof/inrtotoipspoofing. html
David Lightman. Credit Carding. 1985
http://www.rompecadenas.com.ar/spam.htm
http://www.zonavirus.com/Tecnicas/Mecanismos_Polimorficos.asp
http://www.zonavirus.com/Tecnicas/Armouring.asp
http://www.zonavirus.com/Tecnicas/Tecnicas_de_autoencriptacin .asp
http://www.perantivirus.com/sosvirus/general/stealth.htm
http://deco-hack.iespana.es/deco-hack/manuales/Tunneling.txt
Christopher Klaus, Backdoors. 1997
http://www.cnnenespanol.com/2004/tec/01/29/virus.famosos.reut/
index.htm
http://www.dragones.org/Biblioteca/Articulos/virus3.html
http://www.siempreon.com/hack/Virus/VHisto/vhisto.html
111
Sortilegio, Virus. www.elhacker.net
_^SIAKO^_, El Chacal de la Red. www.elhacker.net
http://www.perantivirus.com/sosvirus/hackers/levin.htm
http://www.invent.org/hall_of_fame/155.html
http://www.perantivirus.com/sosvirus/hacke rs/morris.htm
http://tatooine.fortunecity.com/tharg/95/hpvc.html
http://www.geocities.com/SiliconValley/Sector/5353/textos.htm
http://rinconquevedo.iespana.es/rinconquevedo/Criptografia/cla sicos.htm
http://www.monografias.com/trabajos/virus/virus.shtml
http://www.informaticahispana.com/~hackedplanet/def_lammer.htm
http://www.umanizales.edu.co/encuentrohackers/m_copyhacker.ht m
Morrison, William. Crackers on the web. Editorial gray star 1994
112
http://mundo-libre.org/phreaking/phreaking.htm
http://catb.org/~esr/jargon/html/P/phreaking.html
http://www.elinflador.com.ar/hackercarta.html
http:// www.lycos.com/hacknova/foro.php
113
GLOSARIO
ADMINISTRADOR, sysop, root : Es la persona que se encarga del sistema. Se suele denominar rOOt y es quien tiene el poder absoluto sobre la mquina.
AGUJERO, bug, hole : Es un efecto en el software o hardware que como su nombre indica deja agujeros para los hackers. AIX : Sistema operativo de IBM.
BUGS y EXPLOITS : Los bugs son fallos en el software o en el hardware y que usan los hackers para entrar en sistemas y un exploit es un programa que aprovecha el agujero dejado por el bug. Ver AGUJERO.
BOMBA LOGICA : Cdigo que ejecuta una particular manera de ataque cuando una determinada condicin se produce. Por ejemplo, una bomba lgica puede formatear el disco duro un da determinado, pero a diferencia de un virus, la bomba lgica no se replica.
BACKDOOR : Puerta trasera. Mecanismo que tiene o que se debe crear en un software para acceder de manera indebida.
BBS (Bulletin Board System) : Es una mquina a la que se accede a travs de la lnea telefnica y donde se dejan mensajes y software.
BOXING : Uso de aparatos electrnicos o elctricos (Boxes) para hacer phreaking. BOUNCER : Tcnica que consiste en usar una mquina de puente y que consigue que telneteando al puerto xxxx de la mquina "bouncerada" te redireccione la salida a un puerto determinado de otra mquina. Esta tcnica es
114
muy usada en el IRC, redireccionando a los puertos destinados a los servidores de IRC por anonimicidad y otros temas que no vienen al caso.
CABALLOS DE TROYA : Programa que se queda residente en un sistema y que ha sido desarrollado para obtener algn tipo de informacin. Por ejemplo, sera un caballo de troya un programa que al ejecutarlo enve el fichero de /etc/passwd a una determinada IP.
CORTAFUEGOS : Ver firewall.
COPS : Programa de seguridad.
CERT (Computer Emergency Response Team) : Bien, como su nombre indica es una gente que se dedica de trabajar en seguridad, pero que en su esfuerzo por informar de bugs nuevos.
CLOACKER : Programa que borra los logs (huellas) en un sistema. Tambin llamados zappers.
CRACKER : Esta palabra tiene dos acepciones, por un lado se denomina CRACKER a un HACKER que entra a un sistema con fines malvados, aunque normalmente la palabra CRACKER se usa para denominar a la gente que desprotege programas, los modifica para obtener determinados privilegios, etc.
CRACKEADOR DE PASSWORDS : Programa utilizado para sacar los password encriptados de los archivos de passwords.
DAEMON : Proceso en background en los sistemas Unix, es decir, un proceso que est ejecutndose en segundo plano.
EXPLOIT : Mtodo concreto de usar un bug para entrar en un sistema.
115
FIREWALL, cortafuego : Sistema avanzado de seguridad que impide a personas no acreditadas el acceso al sistema mediante el filtrado de los paquetes dependiendo de la IP de origen. En la actualidad est considerado como uno de los medios de seguridad mas fiables y hay poca documentacin al respecto de como hackearlos.
FUERZA BRUTA: Es el procedimiento que usan tanto los crackeadores de password de UNIX como los de NT que se basan en aprovechar diccionarios para comparar con los passwords del sistema para obtenerlos.
FAKE MAIL : Enviar correo falseando el remitente.
GRAN HERMANO : Cuando la gente se refiere al Gran Hermano, se refiere a todo organismo legal de lucha contra el mundo underground.
GUSANO : Trmino famoso a partir de Robert Morris, Jr. Gusanos son programas que se reproducen ellos mismos copindose una y otra vez de sistema a sistema y que usa recursos de los sistemas atacados.
HACKING : Tcnicas de entrada de forma ilegal en un sistema informtico con el nimo de obtener informacin, siempre y cuando esto se use con fines educativos o de diversin, NUNCA para aduearse de conocimientos que no son nuestros o con nimo de lucro. Estos actos no presuponen la destruccin de la informacin, ni la instalacin de virus.
HOLE : Ver bug.
HP/UX : Sistema operativo de HP.
116
INGENIERIA SOCIAL : Obtencin de informacin por medios ajenos a la informtica.
IRIX : Sistema operativo.
ISP (Internet Services Provider) : Proveedor de servicios internet.
KEY : Llave. Se puede traducir por clave de acceso a un software o sistema.
KERBEROS : Sistema de seguridad en el que los login y los passwords van encriptados.
KEVIN MITNICK : Es el hacker por excelencia!. Sus hazaas se pueden encontrar en mil sitios en la Red.
LINUX : Sistema operativo de la familia UNX.
LOGIN : Para entrar en un sistema por telnet se necesita siempre un login (nombre) y un password (clave).
MAQUINA : En este texto, habitualmente se utilizara el trmino mquina para referirse al ordenador.
MAIL BOMBER : Es una tcnica de insulto, que consiste en el envo masivo de mails a una direccin (para lo que hay programas destinados al efecto) con la consiguiente problemtica asociada para la vctima.
PASSWORD : Contrasea asociada a un login. Tambin se llama as al famoso fichero de UNIX /etc/passwd que contiene los passwords del sistema.
PPP : Point-to-point protocol... RFC 1661.
117
PASSWORD CRACKER : Ver CRACKEADOR DE PASSWORD.
PGP : Pretty Good Privacy. Es un programa de encriptacin de llave publica.
PHRACK : zine sobre hack muy famosa.
PORT SCANNER : Programa que te indica que puertos de una mquina estn abiertos.
ROOT, administrador, sysop : Persona que tiene control total sobre el sistema y cuyo UID es 0.
ROUTER : Mquina de la red que se encarga de encauzar el flujo de paquetes.
SNIFFER : Es un programa que monitoriza los paquetes de datos que circulan por una red. Ms claramente, todo lo que circula por la red va en paquetes de datos que el sniffer chequea en busca de informacin referente a unas cadenas prefijadas por el que ha instalado el programa.
SHELL : Este concepto puede dar lugar a confusin ya que una shell en un sistema UNIX es un programa que interacta entre el Kernel y el usuario, mientras que en nuestros ambientes significa el conjunto de login y password.
SUNOS : Sistema operativo de Sun.
SOLARIS : Sistema operativo de Sun.
SYSOP : Ver rOOt.
118
TCP/IP : Arquitectura de red con un conjunto de protocolos. Es la que se suele usar en Internet.
TRACEAR : Seguir la pista a travs de la red a una informacin o de una persona.
UDP: Protocolo de comunicacin que a diferencia del TCP no es orientado a conexin.
UNIX : Familia de sistemas operativos que engloba a SunOS, Solaris, irix, etc.
VMS : Sistema operativo.
VIRUS : Es un programa que se reproduce a si mismo y que muy posiblemente atacar a otros programas. Crea copias de si mismo y suele daar datos, cambiarlos o disminuir la capacidad de tu sistema disminuyendo la memoria til o el espacio libre.
WAR DIALER : Estos son programas (tambin se podra hacer a mano, pero es muy pesado) que realizan llamadas telefnicas en busca de modems. Sirve para buscar mquinas sin hacerlo a travs de Internet. Estas mquinas suelen ser muy interesantes ya que no reciben tantos ataques y a veces hay suerte y no estn tan cerradas.
WORM : Ver gusano.
WINDOWS : Sistema operativo hecho por Microsoft.
ZAP : Zap es un programa que se usa para borrar las huellas en un sistema. Debido a lo famoso que se ha hecho muchos programas que desarrollan estas funciones se les llama zappers.
119
ZINE : Revista electrnica.
120

Seguridad en Internet

Caricato da

Informazioni sul documento

Descrizione originale:

Copyright

Formati disponibili

Condividi questo documento

Condividi o incorpora il documento

Opzioni di condivisione

Hai trovato utile questo documento?

Questo contenuto è inappropriato?

Copyright:

Formati disponibili

Seguridad en Internet

Caricato da

Copyright:

Formati disponibili

ColombiaUnderground Team

Principios de seguridad en Internet

Capitulo 1 (INTRODUCCION AL SUB-MUNDO)

10.4. 10.5. 10.6.

Ingeniera social Tunneling Carding

Capitulo 2 (Mtodos de ataque)

14.4.2. 14.4.3. 14.4.4. 14.4.5. 14.4.6. 14.5. 14.6.

VIRUS FAMOSOS CABALLOS DE TROYA O BACKDOORS MEDIOS DE TRANSMICION

17. CARDING 18. SNIFFERS y KEYLOGGERS 18.1. SNIFFERS

20.4. 21. TELNET 21.1.

DESBORDAMIENTO DEL BUFFER

22. INGENIERIA SOCIAL

Capitulo 3 (Mtodos de defensa)

30. BIBLIOGRAFA 31. GLOSARIO

Capitulo 1 (INTRODUCCION AL SUB-MUNDO)

2. QUE SON LOS HACKERS:

Antiguo ingeniero de sistemas:

Nio de doce aos:

http://www.paralax.com.mx/antivirus/ar03-hackersyvirus.html http:// www.lycos.com/hacknova/foro.php

Cybor, Bangor Diciembre del 96 Maine " 4

HISTORIA DEL PHREAKING

Morrison, William. Crackers on the web. Editorial gray star 1994

Son personas muy

KRaViTZ , INTRODUCCION AL CRACKING

ACTIVIDADES EN EL SUBMUNDO VIRII

HACKERS FAMOSOS Robert Morris

Biografa del inventor

Kevin Mitnick, El Chacal de la Red

_^SIAKO^_, El Chacal de la Red. www.elhacker.net

Capitulo 2 (Mtodos de ataque)

Tiempo de uso limitado:

Mensajes molestos y nags:

algn otro mensaje relacionado a la proteccin. Estos mensajes desaparecen al registrar.

Proteccin contra la copia del CD

KRaViTZ , INTRODUCCION AL CRACKING

HISTORIA DE LOS VIRUS

Sortilegio, Virus. www.elhacker.net

VIRUS DE ENLACE DIRECTO

El gusano "Blaster" o "LovSan" se propag aprovechando una falla de seguridad de Windows.

CABALLOS DE TROYA O BACKDOORS

Christopher Klaus, Backdoors. 1997

14.6.1.2. TELNET y SSH

Funcionan en modo Cliente/Servidor y permite ejecutar comandos en el equipo infectado.

Ejemplo tpico de intrusin a la red Kazaa a travs de Telnet:

Otros servicios de Internet

(HTTP, FTP, ICQ, Chat, Mensajera Instantnea)

http://www.zonavirus.com/Tecnicas/Tecnicas_de_autoencriptacin.asp http://www.zonavirus.com/Tecnicas/Mecanismos_Polimorficos.asp http://www.zonavirus.com/Tecnicas/Armouring.asp

PIRATERIA POR MAIL

Caractersticas Objetivos Consecuencias:

El KeyLogger fue principalmente utilizado en varias

- La 1 Campaa Mundial de Seguridad en la Red pone en manos de todos los

http://www.seguridadenlared.org, contiene informacin esencial sobre este tipo

http://www.seguridadenlared.org/disfrutandointernet/banca/default.htm, manera ms eficaz de construir claves de

http://www.seguridadenlared.org/disfrutandointernet/banca/banca2.htm dificulten las acciones de cualquier

Sniffers y Key Loggers

Existen cuatro mtodos que son utilizados al hacer IP spoofing:

http://www.wbglinks.net/pages/reads/ipspoof/inrtotoipspoofing.html http://www.iss.net/security_center/advice/Underground/Hacking/Methods/Tech nical/Spoofing/default.htm

CONSUMO DE ANCHO DE BANDA

se niegue el servicio a si mismo, y as el tendr una diferencia de 44MB de recursos disponibles.

ATAQUE DoS GENRICO

Desgraciadamente, cuando se activa la recursin en versiones vulnerables de BIND,

nunca una respuesta de 0.0.0.10, negndose as, efectivamente, el servicio a vww.empresaabc.com.41

DESBORDAMIENTO DEL BUFFER