7/14/2019 21_2007_ES

1/84

7/14/2019 21_2007_ES

2/84

7/14/2019 21_2007_ES

3/84

7/14/2019 21_2007_ES

4/84

4 www.hakin9.org

hakin9

Bienvenidos en febrero...

Esta vez no ha tocado esperar mucho para el prximonmero de hakin9. A partir de enero hakin9 es un mensual yespero que ya os hayis acostumbrado a esta nueva perio-dicidad y que disfrutis de la revista an ms. Este nmeroaparecer en vuestras manos acompaado por dos CDspara traeros cada vez ms materiales interesantes.

En el CD1 encontraris hakin9live, que ya conocis muybien y que, estoy segura, tampoco os decepcionar. Con estemismo disco os entregamos tambin algunos regalos: a qume reero? A las cinco aplicaciones comerciales, que osayudarn a proteger vuestro ordenador y ajustarlo a vuestrasnecesidades individuales. Espero que todas: Powered Keylo-gger, VIP Defense VIP Privacy, LANState, NetIntercept 3.2

Software Demo y System Tweaker os sirvan bien.El CD2 contiene la segunda parte del curso, cuyo obje-tivo es presentar la informacin bsica requerida durante losexmenes certicados Cisco CCNA.

A partir de este nmero podemos enorgullecernos dela colaboracin con los representantes de varias empresasdel sector TI, que aportaron a la revista con los artculos dela ms alta calidad. Nos han honrado con su participacinactiva en la creacin del contenido de la revista tales empre-sas como Ecija Soluciones, rtica Soluciones Tecnolgicasy I-SEC Information Security con las cuales esperamosseguir colaborando tambin en el futuro.

Si hablamos de las empresas habra que mencionartambin el Club PRO, una opcin de suscripcin creada

especialmente con la idea de ofrecer a las empresas laposibilidad de llegar con su mensaje al pblico ms amplio.

A todos que todava no conocen esta nuestra oferta osanimo a analizarla, ya que pueden sacar un buen provechode la colaboracin con hakin9!

Al volver a la presentacin del contenido de hakin9 defebrero, quera recomendaros otra seccin nueva de larevista: los tests de consumidores. En este nmero nos con-centramos en los tests de rewalls y hemos publicado lasopiniones ms interesantes de los que han decidido partici-par en ellos y a los que me gustara en este lugar agradecer.Espero que los tests encuentren su lugar jo en las pginasde hakin9 y que os ayuden a la hora de tomar ciertas deci-siones. Sin embargo, no habr buenos tests sin el apor te de

vosotros, queridos lectores, por lo tanto no os olvidis decompartir vuestras observaciones y experiencias respecto alos productos que vamos a testear y cuya lista encontrarisen la pgina web de hakin9.

Entre los artculos ms interesantes de este nmero hayque mencionar:Ataques CSRF: Ataques de falsicacin depeticiones, en el que aprenderis en que consiste un ataqueCSRF, conoceris diferentes tipos de ataque y la mejor pro-teccin contra ellos. En Hardening de sistemas en entornoscorporativos leeris sobre diferentes tcnicas sobre securi-zacin de sistemas y la mejor manera de llevarlas a cabo.Si os interesa el tema de la tecnologa de indenticacin porradiofrecuencias, os invito a leer el artculo RFID-Otro roundentre la funcionalidad y la seguridad.

Son apenas algunas de las propuestas...y aqu os dejo,desendoos una buena lectura y esperando encontraros elmes que viene...

Anna Marcinkiewicz

18

16

30

06

10

14

20

24

En breve

Resaltamos las noticias ms importantes del mundode la seguridad de sistemas informticos.

Contenido de CD

CD 1 hakin9.liveComentamos el contenido y el funcionamiento denuestra distribucin hakin9.live.

CD 2 Curso CCNADescribimos el contenido del CD2.

Herramientas

Patriot

Gonzalo Asensio Asensio

Patriot: herramienta capaz de monitorizar el compor-tamiento de nuestro sistema.

Open Source Security InformationManagement

Francisco Jess Gmez Rodrguez

OSSIM es una herramienta de monitorizacin deeventos de seguridad en redes.

Ataque

Ataques CSRF: Ataquesde falsicacin de peticiones

Emilio Casbas

Cross site Reference (XSRF) es una clase de ataqueque afecta a las aplicaciones web.

Los Ataques DDoS

Jaime Gutierrez, Mateu Llull

Los ataques de denegacin en la administracin desistemas.

Funcin de sobrescritura usandoptrace()

Stefan Klaas

Diferentes procesos de las tcnicas de inyeccin queincluyen ptrace().

7/14/2019 21_2007_ES

5/84

5www.hakin9.org hakin9 Nr 2/2006

50

74

32

est editado por Software-Wydawnictwo Sp. z o.o.

Direccin: Software-Wydawnictwo Sp. z o.o.ul.Bokserska 1, 02-682 Varsovia, PoloniaTfno: +48 22 887 10 10, Fax: +48 22 887 10 11www.hakin9.org

Produccin: Marta Kurpiewska marta@software.com.plDistribucin: Monika Godlewska monikag@software.com.plRedactora jefe: Katarzyna Chauca, katarzyna.chauca@software.com.pl

Redactora adjunta:Anna Marcink iewiczanna.marcinkiewicz@software.com.pl

Preparacin del CD: Rafa Kwany (Aurox Core Team)Composicin: Sawomir Zadrony slawekz@software.com.plTraduccin: Mariusz Muszak, Ral Nanclares, Magorzata Janerka,Rolando FuentesCorreccin: Jess Alvrez Rodrgez, Juan GamezBetatesters: Juan Prez Moya, Jose M. Garca Alias, Luis Peralta Nieto,Jose Luis Herrera, Alvaro CuestaPublicidad: adv@software.com.pl

Suscripcin: suscripcion@software.com.pl

Diseo portada:Agnieszka Marchocka

Las personas interesadas en cooperacin rogamos

se contacten: cooperation@software.com.pl

Si ests interesado en comprar la licencia para editar nuestras revistascontctanos:Monika Godlewskae-mail: monikag@software.com.pltel.: +48 22 887 12 66fax: +48 22 887 10 11

Imprenta: 101 Studio, Firma TgiDistribuye:coedis, s.l.

Avd. Barcelona, 22508750 Molins de Rei (Barcelona), Espaa

La Redaccin se ha esforzado para que el material publicado en la revistay en el CD que la acompaa funcione correctamente. Sin embargo, no seresponsabiliza de los posibles problemas que puedan surgir.

Todas las marcas comerciales mencionadas en la revista son propiedad delas empresas correspondientes y han sido usadas nicamente con nesinformativos.

Advertencia!

Queda prohibida la reproduccin total o parcial de esta publicacin

peridica, por cualquier medio o procedimiento, sin para ello contar

con la autorizacin previa, expresa y por escrito del editor.

La Redaccin usa el sistema de composicin automticaLos diagramas han sido elaborados con el programade la empresaEl CD incluido en la revista ha sido comprobado con el programa

AntiVirenKit, producto de la empresa G Data Software Sp. z o.o .

La revista hakin9 es editada en 7 idiomas:

ES PL CZ EN

IT FR DE

Advertencia

Las tcnicas presentadas en los ar tculos se pueden usar SLOpara realizar los tests de sus propias redes de ordenadores!La Redaccin no responde del uso inadecuado de las tcnicas

descritas. El uso de las tcnicas presentadas puede provocar laprdida de datos!

hakin9

68

82

58

78

Defensa

Violacin y Aplicacin de Polticasde Seguridad con IDS y Firewall

Arr igo Triulzi, Antonio Merola

Un Sistema de Deteccin de Intrusiones en Redes(NIDS) como herramienta de vericacin y como herra-mienta para la aplicacin de la poltica de seguridad.

Insalacin y conguracin de Open-

VPN Red Privada Virtual sobre SSLCsar Jimnez Zapata

Las VPN permiten extender cualquier red local atravs de una red no segura utilizando para elloencriptacin en los datos transmitidos.

Hardening de sistemasen entornos corporativos

Sancho Lerena

Una de las primeras tareas a realizar cuando hay queimplementar seguridad en cualquier red de sistemas

heterogneos, es la tarea de ajustar la seguridad deestos sistemas.

Para principiantes

RFID Otro round entrela funcionalidad y la seguridad

Ezequiel Martin Sallis

RFID y lucha eterna del equilibrio entre la seguridady la funcionalidad.

Tests de consumidoresEn este nmero os presentamos los tests de rewalls.

Entrevista

Cunta ms complejidadtecnolgica, la cadenade conanza se alarga...

Hablamos con Sancho Lerena, Director Tcnico dert ica Soluciones Tecnolgicas.

Prximo nmero

Avance de los artculos que se encontrarn en lasiguiente edicin de nuestra revista.

7/14/2019 21_2007_ES

6/84

Breves

www.hakin9.org6

Ha crecido la familiade gusanos parala mensajera instantneaWORM_SOHANADLa familia de gusanos para

mensajera instantnea WORM_

SOHANAD ha crecido, desde un

nacimiento tmido, hasta convertirse

en un poderoso conjunto de cdi-

gos maliciosos. Primero fue iden-

ticado como un gusano comn,

propagndose mediante mensaje-

ros instantneos, SOHANAD pero

ha crecido al grado de convertirse

en una familia que recluta otros

componentes, en un mtodo de

colaboracin dnde cada quien

juega un papel que contribuye al

resultado nal del ataque.Las primeras variantes del

SOHANAD tenan como objetivo

la poblacin usuaria de ordena-

dores de Vietnam. Las variantes

ms recientes, sin embargo, han

cedido en enfoque geogrco, y ha

crecido en trminos del nmero de

programas de mensajera instant-

nea que emplea, logrando mayor

coordinacin en otros aspectos

conforme van evolucionando.

Crean una impresora queregistra la identidad del

usuario en los documentosLas empresas japonesas Ricoh

y Hitachi Software Engineering

han desarrollado un sistema que

registrar las venas de los dedos

de un usuario en los documentos

impresos con el n de prevenir la

ltracin de informacin, informa la

prensa local.

El nuevo dispositivo requiere que

despus de ordenar la impresin el

usuario se identique poniendo su

dedo en un lector integrado en la

impresora, segn el diario econ-

mico Nihon Keizai.

La informacin recabada que-

dar grabada en los documentos,

gracias a la cual se podr rastrear

la identidad de la persona que

imprimi un documento, dice la

informacin.

El nuevo sistema tendr una

capacidad de almacenar infor-

macin de unas 100 personas

y costar 15 millones de yenes

(127.111 dlares). El objetivo de

ventas es de 200 unidades en tres

aos, dice el rotativo y agrega que

Ricoh tiene planes de desarrollar

junto a Hitachi Software otro tipode programas para incrementar la

seguridad en las ocinas.

DigitalParks y la ACM impulsan la seguridadinformtica en la administracin catalana

Apenas el 30% de los munici-pios catalanes ha adecuadosus bases de datos a la LOPD y el

50% ni siquiera cuenta con pgina

web Barcelona, 24 de Octubre de

2006 - Las administraciones loca-

les de Catalunya podrn mejorar

la gestin informtica y asegurar

el cumplimiento de la Ley Orgnica

de Proteccin de Datos (LOPD) y

la Ley de Servicios de la Sociedad

de la Informacin (LSSI) gracias al

convenio establecido entre DigitalParks y la Asociacin Catalana de

Municipios (ACM).

La digitalizacin de la adminis-

tracin local catalana es manies-

tamente mejorable: el 50% de los

municipios no tiene pgina web,

apenas un 30,7% cumple la LOPD y

slo un 16% permite a los ciudada-

nos realizar gestiones va Internet.

Estas deciencias tambin afectan

a la seguridad informtica de los

datos que gestionan los ayunta-mientos sobre los ciudadanos.

El acuerdo pone a disposicin

de los entes locales, a travs de la

ACM, el avanzado centro de datos

de Digital Parks en L'Hospitalet de

Llobregat y un amplio abanico de

soluciones de seguridad informtica,

proteccin de datos, presencia en

Internet y externalizacin tecnol-

gica. Digital Parks ofrecer aseso-

ramiento y condiciones preferentes

a los municipios, consejos comar-

cales y otros entes locales catalanes

integrados en la ACM en aspectos

como:

Cumplimiento de la Ley Orgnica

de Proteccin de Datos, utilizando

servicios de copias de seguridad,

encriptacin de las comunicacio-

nes y asesora tecnolgica;

Cumplimiento de la Ley de Ser-

vicios de la Sociedad de la Infor-

macin, con correo electrnico

seguro, monitorizacin de redes ysistemas y consultora de seguri-

dad;

Mejora de los servicios inform-

ticos y de telecomunicaciones

mediante la externalizacin,

evitando costosas inversiones

a las administraciones locales;

Presencia en Internet y servi-

cios telemticos, para acercar

la administracin local a los

ciudadanos ofreciendo pginas

web ms amigables, interactivas

y seguras que cumplan con nor-

mativas como la reciente Ley de

Accesibi lidad para las Adminis-traciones Pblicas.

El cumplimiento estricto de la

LOPD y el tratamiento adecuado de

los datos y sistemas informticos

en las administraciones locales es

frecuentemente difcil si se quiere

hacer de forma interna, ya que

exige inversiones en instalaciones,

equipos y personal que muchas

veces no son econmicamente

asumibles, aunque exista una rme

voluntad de llevarlas a cabo, mani-

esta Joan Maria Roig y Grau, Pre-

sidente de la ACM. Digital Parks

ofrece productos y servicios que

permiten a nuestros asociados dar

una respuesta a estas necesidades

con total independencia frente a los

operadores, fabricantes o distribui-

dores.

Este convenio es otro ejemplo

del compromiso de Digital Parks

de colaborar con todos los niveles

de los sectores pblicos y priva-

dos para mejorar la gestin y la

seguridad informtica en nuestro

pas, asegura Robert de Dalmases,

administrador de Digital Parks. El

acuerdo se suma a otras inic iativas

que hemos impulsado con organis-

mos como Fomento del Trabajo o

el COPCA que ponen de maniesto

que modernizar la gestin TIC no

es una cuestin de dinero, si no de

voluntad y exibilidad para encon-

trar una solucin personalizadapara cada necesidad.

7/14/2019 21_2007_ES

7/84

News

www.hakin9.org 7

Encuentran diversasvulnerabilidadesen IBM WebSphereApplication ServerSe han anunciado varias vulne-

rabilidades en IBM WebSphere

Application Server 6.1, que

pueden ser explotadas por

usuarios maliciosos con diversos

impactos como evitar restriccio-

nes de seguridad, o comprometer

sistemas vulnerables. El primero

de los problemas se debe aun

erroroff-by-one (*) en mod_

rewrite incluido en el tratamiento

de esquemas ldap que puede

ser empleado para provocar un

desbordamiento de bufer. La

segunda vulnerabilidad afectadurante el registro de operaciones

de respuesta, ya que las compro-

baciones de autenticacin Eal4

no se realizan como una de las

primeras acciones. Y por ltimo,

se ha comprobado que, por

defecto, todos los usuarios tienen

autorizacin handleservantnoti-

cation en Z/Os.

La web de lacomunidad Second Life,vctima de un virusEste domingo el mundo en

tercera dimensin Second Lifefue atacado por el virus Grey

Goo, un programa informtico

que se instala en la memoria de

la computadora y se duplica a s

mismo. El sitio tuvo que cerrar

su pgina por un corto tiempo

hasta que se pudo eliminar el

cdigo malicioso.

Grey Goo reprodujo anillos dora-

dos que giraban alrededor de

todo el sitio de juegos virtuales,

provocando que los servidores

de la compaa Linden Lab,

creadora del juego Second Life,

estuvieran ms lentos. Second

Life es un mundo virtual habi-

tado por personajes o avatares

que representan a personas

reales. El juego es utilizado por

ms de 1,5 millones de usuarios,

creciendo aproximadamente un

38 por ciento cada mes, segn la

firma. En el sitio Web se pueden

comprar y vender terrenos

virtuales y objetos con dinero

real. Se utiliza un copybot que

puede ser utilizado para hacer

rplicas de los objetos virtuales

de las personas sin necesidadde pagar derechos de propiedad

intelectual.

Seguridad en Internet con tarjetas de crdito

Recomendaciones de Visa Inter-nacional en lo que respecta a laseguridad en las terjetas de crdito.

Los usuarios de tarjetas de crdito

deben ser cuidadosos al momento

de manejar el uso de sus plsticos

y estar alertas al recibir cualquier

solicitud de informacin condencial

de parte de cualquier persona o ins-

titucin. Visa International entrega a

sus clientes toda la tecnologa de un

sistema de pago seguro.

Una de las instancias en quelos consumidores pueden estar

expuestos al robo de su informacin

condencial, es la circulacin de una

serie de correos electrnicos que

intentan que los receptores accedan

a un sitio web o que a travs del

mismo correo entreguen sus datos

personales o claves referidas a las

tarjetas de crdito.

Esto es el denominado Phishing,

el que consiste en intentar adquirir

informacin condencial, como lasclaves o nmeros de tarjetas de

crdito, haciendo creer a la persona

que los datos son solicitados por la

empresa de la tarjeta de crdito o

incluso por el mismo banco.

En este tipo de engao, los

receptores del correo son instados

a ingresar a un sitio web que simula

pertenecer a alguna institucin o

empresa de conanza, pero que sin

embargo corresponde a una pgina

web falsa. Generalmente el usuario

no detecta esto, y puede sentirse

conado de entregar la informacin

secreta.

Se recomienda en general:

Nunca entregues informacin

de tus claves, nmeros de tarje-

tas, de cuentas corrientes o de

cualquier otro producto de uso

personal y condencial;

Visa International y sus bancos

miembros nunca te solicitarn

informacin de ningn tipo ni porcorreo electrnico ni por telfono.

Incluso si el correo incluye infor-

macin e imgenes corporativas,

no confes en l. Los delincuen-

tes son capaces de replicar este

tipo de elementos;

Este tipo de correos tiene una serie

de caractersticas que te ayudarn

a identicarlos:

Siempre te solicitarn algn dato

personal, como tu RUT, nmero

de cuenta o tarjeta de crdito

o alguna clave;

Este tipo de mensajes suele

hacer un llamado urgente

a entregar los datos para evitaruna situacin importante, como

el bloqueo de la tarjeta de crdito,

el cierre de la cuenta corriente, la

actualizacin urgente de datos,

entre otros. Este mensaje busca

que el receptor entregue la infor-

macin sin medir las consecuen-

cias ni pensar en que se puede

tratar de un engao;

Para que entregues los datos,

te pedirn que accedas a algn

link, llenes un formulario o abras

algn archivo adjunto;

Generalmente se dirigen al recep-

tor del mensaje como Estimado

cliente o alguna frase similar,

pero no son personalizados con

el nombre y apellido del receptor;

Otra seal que te puede alertar, es

que el mensaje contenga faltas de

ortografa o problemas de redac-

cin, ya que generalmente estos

mensajes provienen del extran-

jero;

Si recibes un correo electrnicoo un llamado de este tipo, avisa

de inmediato a tu banco emisor.

7/14/2019 21_2007_ES

8/84

Breves

www.hakin9.org

Los tres principales moto-res de bsqueda en Internetse ponen de acuerdo parafacilitar la indexacin desitios webGoogle, Microsoft y Yahoo! acuer-

dan ofrecer soporte para Sitemaps

0.90, un protocolo que facilita a los

diseadores y programadores de

pginas web que sus creaciones

entren dentro de las bases de datos

de los motores de bsqueda. El

estndar Sitemaps consiste en una

forma de identicar en un website

aquellas pginas que queremos que

sean indizadas en los motores de

bsqueda. Esto se hace bsica-

mente mediante la inclusin de un

chero en formato XML en el que selistan las URL's de las pginas que

queremos indizar, de forma que el

robot de clasicacin del motor de

bsqueda (crawler) lee dicho chero

y guarda referencias a las pginas

que all se le dicen. Alternativamente,

el mtodo clsico es que el robot

de clasicacin examine el cdigo

fuente en busca de enlaces a otras

pginas del website, entrando en la

base de datos dichas referencias.

Los tres principales buscadores de

Internet, Google, Yahoo! y MSN de

Microsoft, han acordado ofrecer

soporte para la versin 0.90 deeste estndar, lo que signica que

a partir de ahora se les simplica

la tarea a los diseadores de

websites para que ordenen las

pginas que van a entrar en la

base de datos del motor de bs-

queda, ofrecindoles mayor control

sobre lo que se clasica y como se

clasica. Para saber como hay que

crear y rellenar el chero XML de

denicin de las pginas a clasi-

car, contamos con una estupenda

gua en el mismo sitio web de Site-

maps, en Protocol Sitemaps XMLformat: http://www.sitemaps.org/

protocol.html

Desde el punto de vista del usuario,

y segn arman los tres grandes de

Internet, la adopcin de Sitemaps

signicar que los resultados de las

bsquedas realizadas en cualquiera

de los tres motores sern ms

correctos y detallados.

Ms informacin:

http://www.sitemaps.org/ Website

ocial para el protocolo Sitemaps

http://www.google.com/press/

pressrel/sitemapsorg.html Nota

de prensa publicada por Googleanunciando su adopcin por parte

de los tres grandes.

Inteligencia Articial y Seguridad(virus, phishing y spam)

La Universidad Humboldt y Stratodesarrollan nuevas tcnicas deInteligencia Articial que resuelven la

incidencia del spam, el phishing y los

virus, adems de evitar la clasicacin

errnea de falsos positivos de spam.

Cerca del 80% del volumen de

emails que gestiona Strato en sus

servidores en toda Europa es spam.

Desde noviembre 2006, Strato incor-

pora una nueva tecnologa basada

en la investigacin cientca sobre

Inteligencia Articial que protege a susclientes frente a amenazas maliciosas

como el spam, el phishing o los virus.

El elevado volumen de spam

pone de maniesto que los tradicio-

nales sistema anti-spam no estn

consiguiendo atajar el problema. El

correo no deseado sigue colndose

masivamente en las bandejas de

entrada de nuestros emails y, lo que

an es ms grave, hay mensajes que

sin ser spam son clasicados inco-

rrectamente como tales, lo que obligaal usuario a revisar regularmente su

carpeta de spam para cerciorarse de

que no pierde ningn email valioso.

Strato ha cambiado radicalmente

la estrategia tradicional de lucha

contra el spam. Tras dos aos de

investigacin en colaboracin con

la Universidad Humboldt de Berln,

Strato ha desarrollado una tecnologa

de proteccin que consigue eliminar la

incidencia de spam, virus y phishing

prcticamente en el 100% de los

casos. La novedad de esta tecnologa

reside en la aplicacin de tcnicas de

Inteligencia Articial. En lugar de poner

el nfasis en el correo no deseado,

esta nueva tecnologa antispam se

centra ante todo en el correo deseado,

de forma que en la bandeja de entrada

del usuario entren nicamente todos

y cada uno de los correos deseados

sin que ninguno de stos resulte cla-

sicado errneamente como spam. El

margen de error es de 1-2 probabilida-

des en cada milln.Ms all de los ltros STA Sta-

tistical Token Analysis y DCC Dis-

tributed Checks and Clearinghouse

que suelen utilizar las tecnologas

antispam al uso, basados en el

bloqueo de emails que llevan en el

asunto determinadas palabras y en

el nmero de veces que se enva

un email, la tecnologa de Strato

aplica algoritmos matemticos que

incorporan dos nuevas variables

desarrolladas por expertos en Inte-

ligencia Articial.

En primer lugar, el sistema analiza

el mapa socialentre el destinatario y

el receptor del email, es decir, la pro-babilidad de que ambos estn unidos

por una relacin plausible como

la que une a cliente y proveedor,

a compaeros de trabajo, etc. Una vez

hecha esta comprobacin, el email es

autorizado y entregado a su destina-

tario. En caso de que la relacin entre

receptor y destinatario sea inveros-

mil, el mensaje es reconocido como

spam y retirado de la circulacin. El

anlisis del mapa social se realiza de

forma annima, sin violar la identidadde los usuarios ni la condencialidad

del contenido de las comunicaciones

y con un altsimo nivel de acierto.

La segunda tcnica de Inteligen-

cia Artical que se aplica a la protec-

cin antispam, antivirus y antiphising

de Strato est basada en la Teora

de Juegos. Sobre la base del ele-

vado volumen de comunicaciones de

Internet que gestiona Strato (ms de

15 millones de emails al da en una

jornada tipo), el sistema se entrena a

s mismo para aprendera detectar el

spam y es capaz de perfeccionar sus

barreras preventivas.

La tecnologa antispam es

igualmente aplicable y ecaz con

respecto a los ataques de virus.

Igualmente bloquea los intentos

de phising monitorizando las URLs

o direcciones de Internet a las que

fraudulentamente se intenta remitir

a los destinatarios de phishing. Si

la direccin no es la de una entidad

reconocida y autorizada, el men-saje es automticamente retirado

de la circulacin sin permitir que

sea entregado al destinatario.

7/14/2019 21_2007_ES

9/84

News

www.hakin9.org 9

El robo de contraseasmediante Firefox puedehaber sido explotadoLa vulnerabilidad en el gestor de

contraseas de Firefox de que

hablamos aqu hace un par de das

pudo haber sido explotada ya hace

un mes, teniendo como vctimas

a usuarios de MySpace. Mediante

una falsa pgina de login (que

Firefox rellena automticamente

con los datos reales de acceso del

usuario si ste decidi guardar-

los en el navegador, y sin mediar

ningn aviso ni pregunta, puesto

que la falsa pgina de ingreso es

una pgina personal que pertenece

tambin al dominio myspace.com),

los usuarios son redirigidos a supgina real, pero tras sufrir el robo

de sus datos de acceso, con lo que

el atacante puede acceder a sus

datos personales, etc...

Basta observar el fuente de la falsa

pgina de login para descubrir

que sta tambin enva los datos

de acceso a un servidor francs,

si bien esa cuenta parece actual-

mente deshabilitada.

Ante la gravedad de esta situacin

y el conocimiento de su explota-

cin activa (extremos ambos de

los que el descubridordel bug

alert a Mozilla hace diez das), enel propio foro de discusin sobre

este bug de Mozilla ya hay quienes

piden(de momento sin xito) que

se informe a los usuarios de Fire-

fox sobre este peligro en la mism-

sima pgina principal de Mozilla y

en la de descargas de Firefox.

Google distribuye ungusano a travs de su listade correoEn agosto de 2003 google distri-

buy el gusano Sobig.Fa traves

de una lista de distribucin gestio-

nada con Yahoo Groups.

Ahora nuevamente el equipo de

Google Video ha distribuido por

error el gusano w32/kapser.A

mediante una lista de distribucin

gestionada por Google Groups. Al

parecer en un primer momento fue

infectado un correo electrnico de

un miembro del equipo el cual lo

reenvi a la lista de distribucin de

Google automticamente.

Segn responsables de Google a

est lista estn suscritas 50.000

personas, de las cuales se des-

conoce el nmero exacto de decorreos afectados ya que no todas

reciben mensajes de correo.

Litcheld: Comparado con Oracle,Microsoft SQL Server es ms seguro

David Litcheld, reputado inves-tigador de seguridad (especiali-zado en bases de datos) demuestra,

aportando su extensa experiencia,

que la base de datos Microsoft SQL

Server es mucho ms segura que

Oracle. Ha publicado un informe que

segn l, no deja lugar a dudas.

El documento estudia la seguridad

de Microsoft SQL Server y Oracle

basndose en fallos (slo en su canti-

dad, no en su gravedad) reportados por

investigadores externos y solucionadospor el fabricante. Slo se han incluido

problemas que afectan a la propia

base de datos. Por ejemplo no se han

incluido vulnerabilidades de Application

Server o Intelligent Agent de Oracle ni

MDAC (que se considera parte de Win-

dows, no del servidor) de Microsoft.

El documento ofrece unas grcas

muy claras, que comparan los produc-

tos bandera de Oracle (Database 8, 9

y 10) contra Microsoft SQL Server 7,

2000 y 2005 durante los ltimos aos.Si bien la versin 7 de Microsoft sufri

numerosos problemas de seguridad,

desde entonces han disminuido drsti-

camente hasta la versin 2005, que no

sufre ninguno. Mientras, los problemas

de seguridad en Oracle han crecido de

forma desproporcionada.

Litcheld achaca estos resultados

de forma determinante al Security

Development Lifecycle que desarrolla

Microsoft para su producto, de forma

que aprende de sus errores mientras

que Oracle parece no tener nada de

esto, tropezando una y otra vez en

la misma piedra, y lo que es peor, ni

siquiera parecen entender los proble-

mas que estn intentando resolver.

El autor, consciente de que

a pesar de lo objetivo de los nmeros

las pruebas pueden levantar suspi-

cacias, se adelanta a las posibles

controversias que surgirn a partir

de su informe y responde por ade-

lantado algunas cuestiones:

No, Oracle no parece tan malo

por ser multiplataforma. Esto no

distorsiona los datos. Casi todos

sus problemas de seguridad

afectan a todas las plataformas;

S, hay varios investigadores inten-

tando encontrar fallos en el servidor

SQL 2005 de Microsoft. Y su cdigo

es ms seguro. Es tan simple como

que no los encuentran.

Litcheld adems, muestra en las gr-

cas slo fallos pblicos y soluciona-

dos, y adelanta que a Oracle todava

le quedan al menos 49 por corregir

y no estn incluidos en las estadsti-cas del informe. Como experto y des-

cubridor de la mayora de los fallos de

Oracle que se muestran, se siente

con la autoridad suciente como para

que sus resultados no sean refuta-

dos. Para l, si se busca seguridad,

la eleccin est clara.

En Microsoft, obviamente, ya

notaron su ventaja con respecto a la

seguridad y realizaron su propio estu-

dio. En una entrada en un blog ocial

titulado1 Year And Not Yet Counting...

,comparan las vulnerabilidades lista-

das en CVE (Common vulnerabilities

and Exposures) de Oracle, MySql e

IBM Database contra SQL Server

2005. Sus resultados son tambin

esclarecedores. Oracle, seguido de

MySql e IBM, sufren todos ms vulne-

rabilidades que el producto de Micro-

soft (versin 2005). De hecho, todava

no se le ha encontrado ninguna desde

que fue lanzado hace ms de un ao.

Se agradecen este tipo de informes

que abordan la seguridad desde un

punto de vista fuera de misticismos

y prejuicios. Litcheld no tiene rela-

cin con Microsoft, de hecho ha

encontrado muchas vulnerabilidades

en casi todos sus productos (aunque

bastantes ms en Oracle, donde se

siente especialmente "cmodo"). Por

tanto, no es slo una tpica compara-

cin sobre quin es menos inseguro

en una discusin basada en opiniones

y gustos, sino que avala la robustez en

un producto bien conseguido (ademsde una importante deciencia en

Oracle ya apuntada en otros boletines)

que bien merece ser mencionada.

7/14/2019 21_2007_ES

10/84

hakin9.live

www.hakin9.org0

En el disco que acompaa a la revista se encuen-

tra hakin9.live (h9l) en la versin 3.1.2 aur

distribucin bootable de Aurox que incluye

tiles herramientas, documentacin, tutoriales y material

adicional de los artculos. Para empezar el trabajo con

hakin9.live, es suciente ejecutar el ordenador desde

el CD. Despus de ejecutar el sistema podemos regis-

trarnos como usuario hakin9 sin introducir contrasea.

El material adicional se encuentra en los siguientes

directorios:

docs documentacin en formato HTML;

art material complementario a los artculos: scripts,aplicaciones, programas necesarios;

tut tutoriales, tutoriales tipo SWF.

Los materiales antiguos se encuentran en los subdi-

rectorios_arch, en cambio, los nuevos en los direc-

torios principales segn la estructura mencionada. En

caso de explorar el disco desde el nivel de arranque de

hakin9.live, esta estructura est accesible desde el sub-

directorio/mnt/cdrom.

Construimos la versin 3.1.2 aur h9l en base a la

distribucin de Aurox 12.0 y de los scripts de generacin

automatica (www.aurox.org/pl/live). Las herramientas no

accesibles desde el CD se instalan desde el repositorio

de Aurox con el programa yum.

En h9l encontraremos un programa de instalacin

(Aurox Live Instaler). Despus de instalar en el disco se

puede emplear el comando yum para instalar programas

adicionales.

Tutoriales y documentacinLa documentacin est compuesta de, entre otros, tutori-

ales preparados por la redaccin que incluyen ejercicios

prcticos de los artculos.

Contenido del CD1

Suponemos que el usuario emplea hakin9.live. Gra-

cias a ello evitaremos los problemas relacionados con

las diferentes versiones de los compiladores, la diferente

localizacin de los archivos de conguracin u opciones

necesarias para ejecutar la aplicacin en el entorno dado.

Especialmente para nuestros Lectores CD1 contiene

aplicaciones comerciales:

Powered Keylogger

Powered Keylogger es un programa profesional de au-

ditora de seguridad (versin de 6 meses) que permite

monitorear todas las actividades de un ordenador, uso de

Internet, teclas pulsadas, contraseas, correos electrni-cos entrantes y salientes, etc. El programa se ejecuta en

modo invisible, en el nivel kernel ms bajo del sistema

operativo; haciendo imposible que el programa sea local-

izado. Los informes tambin se mantienen escondidos.

Caractersticas:

Graba las actividades de las aplicaciones;

Graba todas las teclas presionadas;

Graba todos los clicks del ratn del ordenador;

Graba todas las contraseas, incluso aquellas archi-

vadas;

Monitorea todas las actividades en Internet;

Captura todos los correos electrnicos enviados y

recibidos;

Vigilancia visual de las actividades en el escritorio

(con capturas de pantalla);

Administracin de reportes;

Absolutamente invisible;

Fcil conguracin;

VIP Defense VIP Privacy

VIP Defense VIP Privacy te protege del potencial

riesgo, haciendo que a los delincuentes no les queda

Figura 1. hakin9live, Konqueror Figura 2. hakin9live, Konsole

7/14/2019 21_2007_ES

11/84

www.hakin9.org 11

hakin9.live

nada por robar. VIP Privacy permite a los usuarios

buscar y seguramente limpiar toda la informacin

almacenada dentro de tu sistema y de las aplica-

ciones instaladas. Esto, de ninguna forma, elimina

tus archivos privados ni cambia el contenido de los

documentos de usuario.

Vip Defense Privacy reconoce ms de 700 aplica-

ciones y unos miles de faltas del sistema que guardan

tus datos personales y que pueden ser empleadas por

los delincuentes. Vip Privacy te ofrecer una detallada

descripcin de cada falta de privacidad encontrada en

tu sistema. El proceso de bsqueda y eliminacin es

completamente ajustable a las necesidades individu-

ales, por lo que siempre tienes el control completo de

la situacin.

LANState

LANState genera el mapa de la red, que acelertener acceso a los anfitriones alejados a caracters-

ticas y a recursos, y el manejo de sos. El programa

tambin incluye un nmero de caractersticas tiles

para obtener la informacin sobre los ordenadores

alejados. El empleo de LANState hace esencialmente

ms fcil administrar y supervisar procesos en las re-

des de cualesquiera gama o tamao. 10-Strike LAN-

State es una solucin de administracin que permite

gestionar una red Microsoft Windows de manera muy

fcil gracias a un gran nmero de funciones muy prc-

ticas. LANState crea automticamente por ejemplo la

cartografa de la red, permitiendo as acceder muy

rpidamente a recursos y propiedades de los servi-

dores remotos y recuperar una gran cantidad de datos

de stos. LANState permite de igual modo verificar

el estado de tu red en todo momento. El programa

muestra la cartografa de tu red y permite verificar en

tiempo real el estado de los servidores y ordenadores

remotos:

Crea automticamente una cartografa de red esca-

neando el entorno de red de Windows o un conjunto

de direcciones IP. A continuacin, puedes guardar

esta cartografa, imprimirla o exportarla a un archivo

bitmap;

Precio de la solucin independiente del tamao de

la red. Da igual si administras 10 500 equipos, el

precio de la solucin es el mismo;

No requiere la instalacin de un cliente en los servi-

dores u ordenadores remotos;

Permite acceder a y administrar ordenadores re-

motos en slo unos clics gracias a la cartografa

de red creada automticamente por LANState. De

este modo podrs apagar y reiniciar los equipos y

servidores remotos, acceder a las fuentes y servi-

cios remotos, visualizar los informes de sucesos,

acceder al registro a distancia, hacer listas de los

procesos, los equipos, los servicios NT, y mucho

ms;

Facilita la administracin de los procesos sin importar

el tamao de la red gracias a la posibilidad de asociaral programa aplicaciones externas, como gestiona-

dotes de archivos o herramientas de administracin

a distancia;

Noticacin automtica mediante un mensaje en la

pantalla, una seal sonora o un e-mail en caso de

problema de red;

Permite enviar mensajes a los usuarios del dominio

gracias a una mensajera integrada ecaz;

Permite gestionar las conexiones a tus fuentes com-

partidas y recibir noticaciones cuando alguien se

conecta (soporte de logs, noticaciones sonoras y

listas negras);

Permite enviar mensajes a los usuarios del dominio

gracias a una mensajera integrada ecaz;

Permite gestionar las conexiones a tus fuentes com-

partidas y recibir noticaciones cuando alguien se

conecta (soporte de logs, noticaciones sonoras y

listas negras);

Contiene numerosas herramientas prcticas para

los administradores, como el escner de red, el es-

cner de puerto, ping, rastro de ruta, name lookup,

etc;

Es muy fcil de utilizar.

Figura 3. LANState, 10-Strike Software Figura 4. Pgina ocial de NetIntercept

7/14/2019 21_2007_ES

12/84

hakin9.live

www.hakin9.org2

NetIntercept

NetIntercept es una aplicacin de monitorizacin, anli-sis y visualizacin de red. Captura trco de red (el

paquete completo, no solo las cabeceras), archivos y

manipula el trco capturado, reconstruyendo bajo de-

manda sesiones entre equipos de la red monitorizada.

El anlisis de NetIntercept muestra correos electrni-

cos, pginas web, imgenes y otros archivos que se

transeren por la red. Es capaz de reconstruir hasta

999.999 sesiones a la vez y proporciona una vista com-

prensible de los datos analizados.

NetIntercept se vende con diferentes variedades

de configuracin, proporcionando capturas y alma-

cenamiento de hasta 1900 Gigabytes de trfico dered. Para adquirir una versin completa de NetInter-

cept, por favor contacte con Sandstorm Enterprises

en el telfono +1 781-333-3200, enve un correo elec-

trnico a sales@sandstorm.net o realice un pedido

en http://sandstorm.net/products/quote.

El programa NetIntercept que se proporciona

en CD-ROM es una versin de demostracin. Este

programa que se ejecuta en sistemas Windows NT,

2000 y XP, esta sujeto a los lmites establecidos en el

acuerdo de licencia de usuario nal que se muestra du-

rante el proceso de instalacin. Este software de dem-

ostracin esta limitado al anlisis de 50 Megabytes de

datos por base de datos. Adicionalmente, las bases de

datos estn limitadas a 500 conexiones, el programa

no soporta captura de trco de red en tiempo real

y ciertas funciones se encuentran deshabilitadas en

esta versin de demostracin. Tenga en cuenta que el

manual que se instala con la versin de demostracin

del programa corresponde al manual de la versin

completa del producto.

Cuando instale NetIntercept, podr abrir la base de

datos de ejemplo incluida en la instalacin y utilizar el

programa para realizar anlisis y generar informes en

dicha base de datos. Una vez que Netintercept haya

abierto la base de datos de ejemplo, se recomienda ir a

la cha Summary(para ver la totalidad de la informacin

de la base de datos), a la cha Views (para consultar

informacin referente al equipo, imgenes capturadas

y pginas web), y a la cha "Forensics" (para realizar

bsquedas en la base de datos). Por favor, consulte elarchivo README y el paseo de demostracin por la

aplicacin que se encuentran en la raz del directorio de

instalacin.

System Tweaker

System Tweaker es una aplicacin que permite

modificar la configuracin del software a fin de op-

timizar el sistema del ordenador. System Tweaker

permite tanto a los usuarios avanzados como a los

inexpertos hacer su sistema ms rpido, ms eficaz

y ms seguro. Agrupando todos los importantes

ajustes del sistema en una fcil de navegar interfazde usuario te permite ajustar el sistema a tus necesi-

dades individuales.

Con System Tweaker puedes:

tomar control de tu sistema con hasta un mil tweaks

diferentes;

navegar de una manera simple y rpida a travs de tu

Windows y los ajustes del sistema;

hacer tu sistema Windows ms seguro;

incremantar la eciencia del sistema;

simpilcar y acelarar las proceduras de Startup y

Shutdown. l

Figura 6. System Tweaker Figura 7. Pgina ocial de Vip Defense

Figura 5. Powered Keylogger de Eltima

7/14/2019 21_2007_ES

13/84

Si no puedes leer el contenido del CD y no es culpa de un dao

mecnico, contrlalo en por lo menos dos impulsiones de CD.

En caso de cualquier problema con CD rogamos

escribid a: cd@software.com.pl

7/14/2019 21_2007_ES

14/84

hakin9.live

www.hakin9.org4

En este nmero vamos a presentaros la se-

gunda parte del curso CCNA. El objetivo del

presente cursillo es que los clientes conozcan la

tecnologa de la empresa Cisco y ayudarles en la con-

guracin de los routers Cisco. El objetivo principal de la

ponencia es presentar la informacin bsica requerida

durante los exmenes certicados Cisco CCNA. La po-

nencia se concentrar sobre todo, en la parte prctica.

Sin embargo, no faltarn descripciones de los elementos

necesarios con el trabajo en un equipo real o simulado.

Cisco introdujo varios niveles de certicacin, desde

los bsicos, para cuya consecucin se requieren conoci-

mientos sobre redes pequeas, que incluyen el mercado

de pequeas ocinas y redes locales, hasta los ms

avanzados y complicados entornos de red. Adems de

la divisin en diferentes niveles de dicultad, los respec-

tivos ttulos se agruparon teniendo en cuenta los tipos detemas a los cuales se reeren. As podemos conseguir

el certicado de diseo de redes, conmutacin y routing,

protecciones, tcnicas de conmutacin en las redes ex-

tendidas WAN etc.

Para conseguir cualquier certicado Cisco, debemos

aprobar al menos uno y normalmente varios exmenes.

Los conocimientos del candidato se comprueban terica

y tambin prcticamente. Si bien los niveles bsicos, por

ejemplo CCNA, se pueden conseguir de manera estn-

dar, esto es, al aprobar un examen escrito; en cambio, el

ttulo CCIE requiere aprobar el examen que comprueba

tanto los conocimientos de teora como los conocimien-tos prcticos. Las pruebas informticas se realizan en los

centros de exmen Sylvan Prometric y cuestan entre 100

y 300 dlares.

El Certicado CCNA (ing. Cisco Certied Network

Associate) es el primer nivel del certicado editado por

la empresa Cisco. Este certicado conrma que coneces

los conocimientos necesarios para la instalacin, con-

guracin y administracin de pequeas redes informti-

cas (de hasta los 100 hospedajes). Se puede aprobar el

examen de certicacin de dos formas. El primero est

compuesto de dos exmenes: 640-821 INTRO y 640-811

ICND, que duran respectivamente 75 minutos y 60 mi-

nutos. El segundo modo est compuesto del examen deuna parte (640-801 CCNA) que dura 90 minutos e inclu-

ye los temas de los dos exmenes del primer modo. Los

exmenes se realizan con el ordenador e incluyen tanto

las preguntas tericas (en forma de la prueba de pregun-

tas de opcin mltiple) como la parte de simulacin que

requiere realizar ciertas actividades de conguracin en

el router o conmutador (switch).

Como curiosidad podemos mencionar que el examen

CCIE de dos das es terico y prctico (el nivel superior

de certicacin de Cisco) y se lleva en el laboratorio de

Bruselas. La mayora de las personas no son capaces

de aprobar el examen a la primera. Es una de las prue-bas ms difciles. Todos los certicados Cisco deben

renovarse cada cierto tiempo, normalmente cada dos

Contenido de CD2 CCNAo tres aos, es decir, es necesario volver a aprobar los

exmenes.

El cursillo est dividido en la parte terica y prcti-

ca. Al principio conoceremos los trminos bsicos y los

comandos empleados en la conguracin de los routers

Cisco. Los laboratorios se dividen en:

lConexin al router real Cisco y la comunicacin al

routera travs de la aplicacin HyperTerminal. Abri-

mos la sesin HyperTerminal. Veremos como por

primera vez ejecutar el routera travs del empleo de

los respectivos comandos y de la secuencia de inicio

y realizar la conguracin bsica del routerreal.lRestablecimiento de contraseas en el router. En

esta parte se describieron unas tcnicas de restable-

cimiento de contraseas para los router Cisco. Las

tareas enumeradas aqu se pueden realizar en la ma-yora de los routerCisco sin modicar los equipos.

l Introduccin en la interfaz de usuario y comandos

bsicos. En cambio, aqu durante algunos ejercicios

conoceremos los bsicos comandos y opciones

empleadas desde el intrprete de comandos de los

routerCisco.lCDP. Conoceremos los mensajes bsicos relaciona-

dos con el protocolo CDP (Cisco Discovery Protocol)

que es protocolo de la capa 2 que une los protocolos

de las capa inferiores de los medios fsicos con los

protocolos de las capas superiores de red. CDP se

emplea para recibir informacin sobre los dispositivosvecinos. Conguracin del mensaje del da MOTD

(Message of the Day), es decir el mensaje presenta-

do en el momento de entrar. Es til para suministrar

mensajes dirigidos a todos los usuarios de la red.l Introduccin en la conguracin de las interfaces de

red y las bases del protocolo IP.l Protocolo ARP. Conoceremos las bases del prctico

empleo del protocolo ARP, es decir, protocolo que

sirve para translacin de las direcciones de red en

direcciones de hardware de las tarjetas Ethernet. Em-

pleado en las redes Ethernet, FDDI y TokenRing. l

Figura 1.Cisco CCNA

7/14/2019 21_2007_ES

15/84

Si no puedes leer el contenido del CD y no es culpa de un dao

mecnico, contrlalo en por lo menos dos impulsiones de CD.

En caso de cualquier problema con CD rogamos

escribid a: cd@software.com.pl

7/14/2019 21_2007_ES

16/84

6

Herramientas

www.hakin9.org

Inicio Rpido: Sin duda alguna es una realidad quehoy en da hay personas capaces de acceder a orde-

nadores a travs de numerosas vulnerabilidades yque en la mayora de los casos no somos conscientes

por un lado de que han accedido a nuestro ordena-

dor y por otro quien ha entrado y de que forma lo ha

realizado.

La seguridad informtica, ha evolucionado desde

sus inicios hasta hoy, y existen actualmente mtodos

muy buenos para poder localizar ataques que sufren

nuestros sistemas y redes, uno de los mtodos utiliza-

dos son los IDS.

Por un lado nos encontramos con un sistema IDS

cuyo uso no es muy extendido en ordenadores perso-

nales que forman nuestra red, ya sea por falta de apli-caciones como la que explico en esta seccin o porque

normalmente caemos en el error de montar este tipo

de sistema en servidores crticos, pero nos olvidamos

del resto de la red.

HIDS (Host IDS), es un IDS que controla a unasola mquina, se encarga de monitorizar que el com-

portamiento de dicha maquina sea bueno, un IDS de

host es capaz de protegernos ante la entrada de un

spyware hasta detectar si nos estn creando nuevos

servicios, usuarios, etc. NIDS (Network IDS), son IDSque analizan todo el trfico de red que hay en ese

segmento, son los ms utilizados en empresas. DIDS,este es un IDS que mezcla el HIDS y el NIDS (su uso

es limitado dado la complejidad de su despliegue y

gestin).

Pongmonos en situacin: Como buenos Analis-tas de Seguridad, tenemos nuestra red protegida y

controlada de accesos (a nivel perimetral) mediante

Firewalls, Appliances antivirus para combatir con las

plagas de Internet y como valor aadido tenemos NIDS

en segmentos crticos.

Pues bien, un da vemos como todo estos sistemas

no sirven de nada si cualquiera de nuestros usuarios

cae vctima de un malware (ya sea por el puerto 80 opor un correo no legtimo) cuya rma no es identicada

por el antivirus ni por los IDS, y es ms su ataque

se centra en la maquina, modicando por ejemplo

el chero Host para inutilizar el antivirus e incluso

para realizar ataques de Pharming (fraude bancario),

aadiendo en el arranque programas como troyanos,

creando nuevos usuarios en el sistema, etc, y lo malo

es que todo esto sucede a oscuras tanto del usuario

como de nosotros cuya nalidad es proteger nuestra

red en su mxima integridad.

Es aqu en esta situacin real donde tiene sentido

la aplicacin presentada: Patriot.

Patriotes una herramienta anti- spyware/malware/troyanos /dialer /ataques e incluso virus, funcionamonitorizando la conguracin de Windows y aler-

tando en el caso que detecte un cambio que pueda

haber sido provocado por la accin de cualquier tipo

de Malware.

Patriot es una potente herramienta capaz de alertar

ante situaciones tales como por ejemplo, si nos infec-

tamos con un spyware que quiere redirigirnos a una

pgina Web para motivarnos a comprar o simplemente

para subir en visitas, en este caso Patriot alerta decualquier intento de modicacin de la conguracin

del navegador Internet Explorer, como sabemos lamayora del malware va destinado a este navegador (y

su uso en empresas es casi obligatorio por compatibi-

lidad con herramientas corporativas).

Sistema Operativo:Windows NT/2000/XPLicencia: Freeware

Destino:IDS (Sistema de deteccin de intrusos) de HostPgina Ofcial:http://www.security-projects.com/

Patriot es una herramienta IDS de Host, capaz de monitorizar el comporta-

miento de nuestro sistema sin necesidad de rmas ni patrones y adems nos

ofrece la funcionalidad de IPS (Sistemas de Prevencin de Intrusos).

Patriot

Figura 1. Pantalla con la interface de Patriot y susparmetros de conguracin

7/14/2019 21_2007_ES

17/84

17www.hakin9.org

Herramientas

En el caso de que nos infecte el sistema un virus, o

troyano, lo siguiente que hace es poner una entrada en

el registro de Windows para que al reiniciar el sistema,

se ejecute el proceso de dicho virus o troyano, en este

ejemplo, Patriot detecta las modicaciones en las Keysrelacionadas con el arranque de Windows y nos per-

mite eliminarlas en el mismo momento.

Uno de los ataques que ms fraude ha ocasionado

aos atrs, sobre todo en el mbito domestico, son los

Dialer, estos ataques nos crean conexiones nuevastelefnicas y se conectan a lneas de taricacin

cara en este ejemplo, Patriot nos avisa de que se ha

creado una nueva conexin telefnica y nos permite

eliminarla.

Cuando nuestro sistema se infecta con un virus,

est rpidamente se copia en diferentes directorioscrticos Patriot es capaz de decirnos en tiempo reallos cheros que se crean en nuestro sistema, esto nos

viene muy bien para llevar un control total, adems dealertarnos Patriot nos da la opcin de poder eliminar-

los.

En nuestra red se puede dar el caso de que una

mquina este comprometida por un atacante y esto

intente realizar ataques a otros ordenadores, uno

de los ataques ms potentes a nivel de red Lan son

los Man in the Midle (MitM); Estos son complejos derealizar y muy efectivos, gracias a Patriot estaremos

protegidos de ellos ya que monitoriza la tabla ARP y

alerta en caso de cambio.

Se puede dar el caso que un atacante o incluso

un usuario de nuestra red, intente acceder a recursoscompartidos de otras mquinas con sistema Operativo

Windows, este caso Patriot nos avisa de los usuarios

que estn conectados al sistema y a que recurso estn

conectados porNetbios.Cuando un Intruso se hace con nuestra mquina

mediante cualquier vulnerabilidad, probablemente su

intencin sea mantenerse en el sistema, para ello lo que

hace es crear un usuario en el sistema (adems en la

mayora de los casos muy parecido algn usuario o pro-

ceso del sistema, por ejemplo, usuario WinxpSupport,este tipo de usuario seguro que un usuario normal no lo

borra por miedo a dejar inestable el sistema.

Patriot monitoriza la creacin de usuarios avisandoque se han creado y dando la posibilidad de no dejar

que se creen.

Si por ejemplo nuestras mquinas se enfrentan con

un ataque avanzado como por ejemplo los complejos

RootKits, Patriot detecta la instalacin de nuevosdrivers, muy til para detectar Rootkits en nuestrosistema.

Una variante ms fuerte y daina del Phishing,

es el Pharming, este ltimo se basa en vulnerar los

DNS, ya sea a nivel de ISP o a nivel local de nuestra

mquina, Patriot monitoriza los cambios producidos en

el chero Hostesto es muy til ya que gracias a estaherramienta podemos evitar ataques de Pharming y/o

cualquier intencin negativa que tenga el malware en

nuestro sistema.

Tambin puede que nuestra mquina pueda sercomprometida por un intruso, por ejemplo un Spa-mmer para utilizarnos como ordenador Zombi paramandar Spam desde nuestra ubicacin, gracias a la

monitorizacin de Patriot, que controla el envi masivo

de correo hacia un servidor SMTP podemos detec-tar infecciones de virus en busca de propagacin o

spyware para envi de correo.

Patriot tiene otras funcionalidades que podemos

ver y congurar (activar o desactivar fcilmente).

Otros Rasgos tiles: Patriot tiene una interface deconguracin muy sencilla, no consume recursos del

sistema con lo que es un sistema perfecto para unirlocon otros que se basen en rmas y patrones (lo bueno

de Patriot es precisamente eso, que no requiere de

rmas y patrones sino que se basa en hechos certeros

y en tiempo real).

En el caso de Patriot y en esto hay que agradecer el

esfuerzo a su creador (Yago Jess Molina) no solo puede

actuar como IDS de Host, sino que tambin hace las fun-

ciones de IPS (Sistema de Prevencin de Intrusos) con lo

que podemos bloquear y eliminar los ataques en tiempo

real sin que estos lleguen a daar el sistema.

Como hemos podido comprobar la Seguridad

Informtica es un tema homogneo y compacto ya que

todo tiene que estar lo ms protegido posible, sin duda

alguna esta herramienta ayudar a muchos adminis-

tradores de seguridad a tener una red ms controlada,

able y por supuesto segura.

La garanta de no tener que depender de si han

salido rmas para los nuevos virus/spyware/malware,o la deteccin de un ataque ms minucioso, nos har

la vida ms fcil y productiva dentro de nuestro trabajo

por el esfuerzo de proteger nuestra empresa ante cual-

quier ataque o intrusin.

Gonzalo Asensio Asensio

Analista de Seguridad InformticaMiembro de ISSA-SPAIN

Autor del libro Seguridad en Internet

(http://www.seguridadeninternet.es)

Figura 2. Pgina ocial de Security Projects

7/14/2019 21_2007_ES

18/84

8

Herramientas

www.hakin9.org

La deteccin de ataques en las redes corporativas son

un problema difcil de solucionar. Nos encontramos ante

una paradoja, los sistemas de deteccin que tenemospara detectar estos ataques generan una gran cantidad

de informacin por su alta sensibilidad y esto imposibilita

la gestin y anlisis de esta informacin. Se trata de la

paradoja de la informacin.

Adems esta informacin aparece de forma atmica,

sin relacin entre s, lo que diculta la abstraccin.

Es en este punto donde aparecen los sistemas SIM,

veamos una descripcin general.

Los sistemas Sim centralizan el proceso de anlisis

de eventos de seguridad. SIM es el acrnimo de Security

Information Management. Las principales caractersticas

de estos sistemas podran reducirse a estas cuatro:

Anlisis de eventos de seguridad de fuentes diver-

sas;

Correlacin de eventos para reducir falsos positivos;

Posibilitar la reaccin activa, evitando daos mayo-

res.

Anlisis post-incidentes. Se obtiene informacin para

mejorar la seguridad de la red y la deteccin de nuevos

ataques.

El problema de estos sistemas reside en su coste,

tanto de licencia como de implantacin dentro de las

redes a monitorizar.Llegamos a OSSIM y la cultura open source, de

hecho su nombre completo es Open Source Security

Information Management.

Esta es su denicin formal: OSSIM es una distribu-

cin de productos open source integrados para constituir

una infraestructura de monitorizacin de seguridad[1].

Basada en herramientas open source de gran acep-

tacin en el mundo de la seguridad: Nessus, Snort, Ntop,

nmap, rdd, arpWatch,ACID, Spade...

Nos aporta funcionalidades como un cuadro de

mandos de alto nivel. Con l podemos acceder de

forma sencilla a toda la informacin que se esta moni-torizando con un simple vistazo. Como por ejemplo un

monitor de riesgo, vulnerabilidades, sesiones activas,

servicios.

Permite la deteccin de patrones de ataque y situa-

ciones anmalas. Vase como ejemplo el patrn de

funcionamiento de un Troyano que abre un puerto no per-

mitido dentro de un host de la red que su funcionamiento

normal no contempla el uso de ese puerto (DNS).

La correlacin es la capacidad de relacionar y proce-

sar la informacin una vez que esta es homognea. Nos

Sistema operativo: All POSIX (Linux/BSD/UNIX-likeOSes

http://sourceforge.net/softwaremap/trove_list.php?form_cat=200

Licencia: BSD License

http://sourceforge.net/softwaremap/trove_list.php?form_cat=187

Destino:Administracin de Red

Pgina de inicio: www.ossim.net

Open Source Security Information Managment es una herramiente que sirve

para monitorizacin de eventos de seguridad en redes.

Open Source Security InformationManagement

Figura 1. La arquitectura de una topologa monitorizada por OSSIM

Red Gestion Ossim

Red

ExternaSensories

Red Corporativa

FW

1

Recoleccin / Normalizacin

Priorizacin

Valoracin de Riesgo

Correlacin

Indicadores

Monitores Cons. Forense

Cuadro de mados

32

B.B.D.D

eventos4

7/14/2019 21_2007_ES

19/84

19www.hakin9.org

Herramientas

permite crear nuestras propias reglas de correlacin.

En OSSIM la correlacin forma parte del ncleo y esta

orientada a adaptarse a las nuevas herramientas que se

integren en el sistema.

La valoracin de riesgo proporciona la capacidad

de decisin sobre la ejecucin de una accin ante

una amenaza, viendo la amenaza como un evento

que tiene asociada una abilidad y probabilidad de

ocurrencia.

Figura 1 presenta la arquitectura de una topologa

monitorizada por OSSIM y su funcionamiento interno.

Desde el cuadro de mandos podemos ver las alarmas

ms recientes. Estas alarmas se dispararn por medio

del motor de correlacin.

El monitor de riesgos mostrar la situacin de cada

indice de riesgo segn CALM.

Los eventos los procesan los sensores y son evia-

dos al servidor OSSIM por medio de un protocolo

abierto que une al sensor con la capa de recoleccinde eventos(1).

Los eventos se normalizan y se guardan si procede

en la base de datos de eventos(2).

Llegado este momento el se determinara su nivel

de prioridad y su nivel de riesgo. Si se estima opor-

tuno este nivel generar una alarma en el panel de

control(3).

Las alertas cualicadas pasan al motor de correla-

cin que actualizara su estado y realimenta de nuevo el

proceso anterior. Este motor ser el que nos aporte el

nivel de aprendizaje que renar la deteccin de anoma-

lias(4).

A modo de resumen debemos hacer hincapi en

el motor de correlacin de esta herramienta y en su

manera de tratar y manipular los eventos que se pro-

ducen en una red. La correlacin tiene un papel fun-

damental de cara a la gestin de grandes cantidades

de eventos, ya que es capaz de aumentar la abilidad

de las alarmas a part ir de las anomalias detectadas por

parte de los sensores de la red. Todo esto con la unin

de software libre.

Estas lneas no son ms que la punta del iceberg,

OSSIM es un ocano de posibilidades por explotar. Por

ello os animo a que esto slo sea una mera introduccin y

que consultis la documentacin ocial de la herramienta.

Desde el cuadro de mandos podemos ver las alarmasms recientes. Estas alarmas se dispararn por medio

del motor de correlacin.

El monitor de riesgos mostrar la situacin de cada

indice de riesgo segn CALM (Compromise and Attack

Level Monitor).

Francisco Jess Gmez Rodrguez

P U B L I C I D A D

7/14/2019 21_2007_ES

20/84

www.hakin9.org0

Ataque

La idea bsica de XSRF es simple; un

atacante engaa de alguna manera al

usuario para que realice una accin de-

terminada en la aplicacin objetivo/vulnerable

sin que el usuario sepa que acciones estn

ocurriendo por debajo.

La forma de trabajo de las sesiones en las

aplicaciones web implica que el ID de sesin

temporalmente tiene el mismo signicado que

las credenciales originales de usuario. Esto

quiere decir que, mientras la sesin no ha ex-

pirado, una aplicacin web trata las peticiones

con IDs de sesin vlidos como peticiones de

el usuario que previamente inicio la sesin. Si

un atacante obtiene el ID de sesin de un usua-

rio autenticado, es posible realizar peticiones

con los mismos privilegios que el usuario ori-

ginal. Como resultado de esto, el ID de sesin

ha sido uno de los principales objetivos en los

ataques de aplicacin. Por una parte uno de los

objetivos de ataques cross site scripting (XSS)

es inyectar cdigo malicioso javascript en la

respuesta de una aplicacin vulnerable con el

objetivo de ltrar la ID de sesin de el atacan-te. En dichos ataques, el atacante abusa de el

hecho que las aplicaciones web no pueden dis-

tinguir entre peticiones con IDs de sesin con

origen el usuario legtimo, y peticiones con IDs

de sesin robadas por un atacante.

En contraste, cross site request forgery

(XSRF) es una forma relativamente desconocida

de ataque que no esta motivada con la intencin

de robar la ID de sesin. En vez de ello, los

ataquesXSRFabusan de el hecho que las ma-

yoras de aplicaciones web no pueden distinguir

entre peticiones de usuario intencionadas, y peti-

ciones que el usuario realizo pero sin tener cono-

cimiento de ello. Por ello no es necesario robar la

ID de sesin es el propio usuario con privilegios

el que realizar la accin por nosotros.

Ataques CSRF: Ataques defalsicacin de peticiones

Emilio Casbas

Grado de dicultad

Cross site Reference Forgery (XSRF) es una clase de ataque que

afecta a las aplicaciones web con una estructura de invocacin

predicible. Existe en aplicaciones con una estructura de accin

predicible y que usen cookies, autenticacin de navegador o

certicados de cliente.

En este artculo aprenders...

En qu consiste un ataque CSRF;

Diferencia principal con respecto al ataque

XSS;

Diferentes tipos de ataque;

Proteccin contra este tipo de ataques.

Lo que deberas saber...

Conocimiento del protocolo HTTP;

Falsicacin de peticiones.

7/14/2019 21_2007_ES

21/84

Ataques CSRF

www.hakin9.org 21

FuncionamientoLos ataques CSRF implican peticio-

nes HTTP falsas, para continuar es

importante comprender que es una

peticin HTTP. La web es un entorno

cliente/servidor y HTTP (Protocolo

de transferencia de hipertexto) es

el protocolo que utilizan los clientes

web y servidores para comunicarse.

Un cliente web (comunmente un na-

vegador web) enva una peticin web

a un servidor web, y el servidor web

devuelve una respuesta HTTP. La

peticin de el cliente y la consiguien-

te respuesta de el servidor crean una

transaccin HTTP. Un ejemplo bsi-

co de una peticin HTTP podemosver en la Figura 1.

En ms detalle, la peticin HTTP

contiene estos datos (ver Figura 2).

De una manera ms detallada, lo

que realmente ocurre entre nuestro

navegador y el servidor web: ver

Listado 1.

En el ejemplo anterior se esta ac-

cediendo a la pgina www.hakin9.org

y podemos ver varias cabeceras (en

negrita) en las peticiones HTTP. La

cabeceraHost

es un requerimiento deHTTP/1.1. Existen multitud de cabece-

ras que pueden ser incluidas en una

peticin. Para no complicar este art-

culo se omitirn la mayora de ellas y

slo se trabajara con las necesarias.

Mtodos de HTTPLos ataques CSRF se realizan prin-

cipalmente en aquellas aplicaciones

que utilizan el mtodo GET para pa-

sar los parmetros solicitados pero

tambin es posible realizar este ata-

que en aplicaciones que utilizan el

mtodo POST, pero antes de seguir,

veremos que son estos mtodos y

para que se utilizan. HTTP dene

una serie de mtodos que indicarn

el mtodo interpretado para el objeto

identicado en la URL, por ejemplo:

GET http://www.hakin9.org/pl/

img/glider.png HTTP/1.1

Utiliza el mtodo GET para conse-

guir el objeto glider.png que en estecaso se trata de una imagen.

Los mtodos ms comunes de

HTTP son:

GET: Solicita un documento del

servidor;

HEAD: Solicita slo las cabeceras

de un documento del servidor;

POST: Enva datos al servidor

para procesarlos;

PUT: Almacena el cuerpo body

de la peticin en el servidor;

TRACE: Traza el mensaje a tra-

vs de servidores proxy hacia el

servidor;

OPTIONS: Determina que mto-

dos puede usar un servidor;

DELETE: Borra un documento

de el servidor.

Hay que tener en cuenta que no

todos los mtodos son implemen-

tados por todos los servidores web,

pero un servidor web para cumplir

la especicacin HTTP1.1 slo ne-

cesita implementar el mtodo GET y

HEAD. Los mtodos que nos ocupan

son GET y POST.

GET: es el mtodo ms comn,

y recupera cualquier informacin

identicada por la URL, como ya

hemos visto.

POST: El mtodo POST fue

diseado para enviar datos a el ser-

vidor. En la prctica es usado para el

Figura 1. Transaccin HTTP entre el cliente y el servidor

Peticin HTTP

Dame el documento IIamado /index.pl

Respuesta HTTP

OK, aqui est, es de tip text/htmlCliente Web

www.hakin9.org

Servidor Web

Figura 2. La peticin HTTP en detalle

GET /Index.pl HTTP/1.1 LInea de comienzo HTTP/1.0.200 OK

Content-type: text/html

Content-length: 61

Aqui va el mensaje

Expires: Thu, 19 Nov 1981

08:52:00 GMT

Cabeceras

Cuerpo de el

mensaje "body"

Accept: text/html

Host: www.hakin9.org

Figura 3. Mtodo GET

GET / HTTP/1.1Host: www.ejemplo.es

GET / comprar.php?symbol=OBJX&preciol1500&cantidad=3Host: stocks.tienda.es

www.ejemplo.es victima

Ataque CSRF

stocks.tienda.es

HTTP/1.1 200 OK

Content-Length: 61

...

...

3

2

1

7/14/2019 21_2007_ES

22/84

www.hakin9.org

Ataque

2

soporte de los formularios HTML.

Los datos rellenados en un formu-

lario son enviados a el servidor de

una manera ordenada tal y como la

aplicacin que los esta esperando

los pueda procesar correctamente,

por ejemplo un programa php que

los procesa adecuadamente.

Despus de dar un breve repaso

a los principales mtodos de HTTP,

ahora nos centraremos en la infor-

macin que nos interesa para este

artculo. Hemos visto los principales

mtodos de HTTP, nos centramos

con los que nos ocupa este artculo,

GET y POST.

Diferencias entre GET y POST

El ataque CSRF se centra en las

aplicaciones que utilizan tanto el

mtodo GET como el POST para

realizar sus acciones, pero a travs

de el mtodo GET es ms fcil de

llevar a cabo. Vemos las diferencias

entre estos mtodos.

En HTML podemos especicar

dos mtodos para enviar la informa-

cin de un formulario. El mtodo es

especicado dentro de un elementoFORMusando el atributo METHOD

como en este ejemplo:

La diferencia entre el mtodo GET y

el POST est en la forma que codi-

can o envan los datos a el servidor.

Mientras que el mtodo GET enva

los datos en la url, el mtodo POST

lo hace en el cuerpo de el mensaje.

Las recomendaciones ociales (http:

/ /w ww.w3.org/Protocols /r fc2616 /

rfc2616-sec9.html#sec9) recomien-

dan cuando utilizar un mtodo y cuan-

do utilizar otro, pero esto est fuera de

nuestro alcance en este artculo.

CSRF: Ataque bsicoLa variedad ms comn de ataque

CSRF usa el tag imgde el lenguage

HTML para falsicar la peticin y uti-lizando el mtodo GET. Para explicar

como se puede conseguir esto asu-

mimos que una peticin para http://

Listado 1. Lo que ocurre entre el navegador y el serviodor

GET / HTTP/1.1

Host:www.hakin9.org

User-Agent:Mozilla/5.0

(Windows;U;WindowsNT5.1;en-US;rv:1.7.12)

Gecko/20050915

Accept:application/x-shockwaveash,text

/xml,application/xml,application/xhtml+xml,

text/html;q=0.9,text/plain;q=0.8,video/x-mng,

image/png,image

/jpeg,image/gif;q=0.2,*/*;q=0.1

Accept-Language:es,en-us;q=0.7,en;q=0.3

Accept-Encoding:gzip,deate

Accept-Charset:ISO-8859-1,utf-8;q=0.7,*;q=0.7

Keep-Alive:300

Peticin HTTP:

HTTP/1.x200OK

Date:Tue, 14Nov200615:02:29GMT

Server:Apache/2.0.54(Fedora)

X-Powered-By:PHP/5.0.4

Set-Cookie:PHPSESSID=

s2mcmtlnk590qavhpir4r5vnu4;

expires=Wed, 15Nov200615:02:29GMT;path=/

Expires:Thu, 19Nov198108:52:00GMT

Cache-Control:no-store, no-cache,

must-revalidate, post-check=0, pre-check=0

Pragma:no-cache

Content-Type:text/html

RespuestaHTTP

Figura 4. Esquema de red del ataque, comportamiento del campo

Timestamp

INTRANET

Peficion HTTP

192.168.0.1

Respuesta HTTP

Ataque CSRF

Cliente ce la

Intranet autorizado

HTTP/1.1 200 OK

Content-Length: 61

...

7/14/2019 21_2007_ES

23/84

Ataques CSRF

www.hakin9.org 23

www.ejemplo.es/image.png nos da

la siguiente respuesta HTTP:

HTTP/1.1 200 OK

Content-Length: 61

Lo importante de este ejemplo es el

contenido (HTML). Cuando un na-

vegador interpreta el HTML de una

respuesta, enviar una peticin GET

por cada recurso adicional, tal como

una imagen que necesita para formarla pgina. En este ejemplo despus

de interpretar esta respuesta, una pe-

ticin adicional como la siguiente ser

enviada para conseguir la imagen:

GET /image.png HTTP/1.1

Host: www.ejemplo.es

La caracterstica principal de esta

versin es que es idntica a la pe-

ticin anterior (1. peticin http de el

cliente) excepto por la ruta de el re-curso. Esto es porque las peticiones

para las imgenes no son diferentes

a las peticiones de cualquier otra

URL. Un recurso, es un recurso; no

hay un mtodo para que el navegador

avise a el servidor web que lo que le

va a pedir es una imagen. Veamos

esto con ms detalle en la Figura 3.

Existen varios mtodos para en-

gaar a un usuario y hacerle visitar

un enlace especialmente creado, por

ejemplo mandar al usuario lo que

parece ser una imagen. En el punto

1, el usuario realiza click en el enlace

para visualizar la imagen, pero esta

imagen no es tal, punto 2, sino que

es un enlace creado de manera que

genere una peticin en un servidor

de una tienda online. La vctima

si ha estado navegando por este

sitio sin salir con los mecanismos

adecuados, todava conservara las

credenciales de sesin en su cookie

correspondiente, con lo cual la apli-

cacin autenticar correctamente al

usuario. De esta forma podr llevar acabo la peticin que le hemos dicho

que genere, punto 3, lo que validar

todo el proceso de compra.

Al tratarse de una peticin para

un recurso embebido (una imagen) el

usuario es completamente inconscien-

te de que esta pasando realmente, ya

que la solicitud de estos recursos ocu-

rren sin el conocimiento de el usuario.

Este ejemplo est hecho con una

tienda online, pero de igual manera

sirve para crear ataques ms peli-grosos, como realizar transacciones

en banca online, realizar funciones

administrativas en aplicaciones web

restringidas. Esto quiere decir que

es posible acceder a intranets para

realizar este tipo de ataques. Vamos a

considerar una aplicacin de intranet

localizada en http://192.168.0.1/admin

que permite a usuarios autorizados

borrar empleados. Incluso con meca-

nismos de administracin de sesiones

combinados con el hecho que este

tipo de aplicaciones no es accesible

por el exterior un ataque CSRF puede

tener xito con algo tan simple como:

Una de las caractersticas ms peli-

grosa de el ataque CSRF es que el

usuario legitimo es el que hace la pe-

ticin pero sin tener conocimiento de

ello. Por lo que si intentamos buscar

en los logs de el servidor atacado no

veremos nada extrao, slo las peti-ciones hechas por los usuarios con

acceso legtimo. (Ver Figura 4).

CSRF Ataque con el mtodo

POST

Este tipo de ataque aunque mayori-

tariamente se realiza en aplicaciones

que usan el mtodo GET tambin es

posible realizarlo a travs de el mto-

do POST, a continuacin mostramos

el mismo ataque que el anterior pero

con el mtodo POST (ver Listado 2).

Usar POST en formulariosRealmente no es una proteccin,

muchos usuarios piensan que

usando el mtodo POST en vez de

el GET para enviar los datos de un

formulario seremos inmunes a este

tipo de ataque, pero nada ms lejos

de la realidad.

A lo que si seremos inmunes

ser a este mtodo a travs de la

etiqueta pero hay ms formas

de esconder una peticin, si la apli-

cacin de el servidor es predecible

todava podremos ejecutarlo pero

esta vez con ayuda de algo de ja-

vascript como hemos comprobado

anteriormente.

Usar tokens MD5

Uno de los mejores mtodos y que

los sitios seguros utilizan actualmen-

te es el uso de cadenas MD5 gene-

radas por el servidor y vlidas para

un usuario en una sesin dada, deesta manera nos aseguramos que

el usuario que tiene privilegios es el

que realiza las acciones, l

Listado 2. Mtodo POST

document.forms[0].submit();

En la Red

http://en.wikipedia.org/wiki/Cross-site_request_forgery;

http://www.w3.org/Protocols/rfc2616/rfc2616-sec9.html;

http://www.w3.org/Protocols/rfc2616/rfc2616-sec15.html#sec15.1.3; http://www.w3.org/MarkUp/html-spec/html-spec_8.html#SEC8.2;

HTTP: The denitive Guide. O'Reilly (David Gourley, Brian Totty). 2002.

7/14/2019 21_2007_ES

24/84

www.hakin9.org4

Ataque

Se caracterizan por su fcil ejecucin y

su principal rasgo es la dicultad con

la que pueden ser mitigados DoS es

el acrnimo the Denial of Service (Denegacin

de Servicio). Un ataque DoS a un servidor co-

nectado a Internet tiene como objetivo agotar

sus recursos, ya sean de ancho de banda o de

procesamiento, para que sea (prcticamente)

imposible acceder a l. En principio, el realizar

un ataque DoS est a disposicin de cualquie-

ra que disponga de mayor ancho de banda

que el servidor atacado y/o haya descubierto

alguna vulnerabilidad del sistema operativo

que gestiona el servidor (o los routers). Est

claro que la primera opcin no est al alcance

de cualquiera por lo que los ataques DoS sue-

len ser del segundo tipo. Quiz el ataques DoS

por excelencia es y ser el conocido ping de la

muerte, que consiste en enviar un ping con un

paquete de ms de 56k que colapsa el sistema,

este ataque fu usado en los noventa. Otros

tipos bsicos de ataque son: DoS mediante

paquetes ICMP (ping).

Es una tcnica DoS que pretende agotarel ancho de banda de la vctima. Consiste en

enviar de forma continuada un nmero elevado

de paquetes ICMP echo request (ping (1)) de

tamao considerable a la vctima, de forma que

esta ha de responder con paquetes ICMP echo

reply (pong) lo que supone una sobrecarga tan-

to en la red como en el sistema de la vctima.

Dependiendo de la relacin entre capacidad de

procesamiento de la vctima y atacante, el gra-

do de sobrecarga vara, es decir, si un atacante

tiene una capacidad mucho mayor, la vctima

no puede manejar el trco generado.

Qu es el ping?Se trata de una utilidad que comprueba

el estado de la conexin con uno o varios

Los ataques DDoS

Jaime Gutierrez y Mateu Llull

Grado de dicultad

A lo largo del tiempo, los ataques de denegacin de servicio han

sido un medio que junto con otras aplicaciones (recordemos el

caso MyDOOM) han sido un verdadero quebradero de cabeza

para administradores de sistemas y profesionales del sector.

En este artculo aprenders...

Todo sobre los ataques DoS;

Sus distintos tipos de ataques y como intentar

mitigarlos;

Conocer como funciona un programa para

hacer DoS.

Lo que deberas saber...

Nociones bsicas sobre las redes TCP/IP;

Conocimientos de programacin.

7/14/2019 21_2007_ES

25/84

Los Ataques DDoS

www.hakin9.org 25

equipos remotos, por medio de

los paquetes de solicitud de eco

y de respuesta de eco (denidos

en el protocolo de red ICMP) para

determinar si un sistema IP espe-

cco es accesible en una red. Es

til para diagnosticar los errores en

redes o enrutadores IP:

C:\>ping 192.168.0.1

Estadsticas de ping para 192.168.0.1:

Paquetes: enviados = 4,

recibidos = 4, perdidos = 0

(0% perdidos),

Lo que vemos en la pantalla es una

respuesta mostrando la cantidad

de bytes que se estn enviando y

el tiempo que se demoran dichos

paquetes.

Al nal del test se muestra un resu-

men con las estadsticas de la prueba.

Ataque LAND

Un ataque LAND se produce al en-

viar un paquete TCP/SYNfalsicado

con la direccin del servidor objetivo

como si fuera la direccin origen y

la direccin destino a la vez. Esto

causa que el servidor se responda

a s mismo continuamente acabe

desbordndose y al nal falle.

Connection FlooD

Todo servicio de Internet orientado a

conexin (la mayora) tiene un lmite

mximo en el nmero de conexionessimultaneas que puede tolerar. Una

vez que se alcanza ese lmite, no se

admitirn conexiones nuevas.

As, por ejemplo, un servidor Web

puede tener capacidad para atender

a mil usuarios simultneos. Si un

atacante establece mil conexiones

y no realiza ninguna peticin sobre

ellas, monopolizar la capacidad

del servidor. Las conexiones van

caducando por inactividad poco a

poco, pero el atacante slo necesita

intentar conexiones nuevas constan-

temente, como ocurre con el caso

del syn ood.

Afortunadamente este ataque

implica que la conexin tiene lugar o,

lo que es lo mismo, que se completa

la negociacin en tres pasos que co-

mentbamos en la seccin anterior.

Debido a ello la mquina atacada

tiene constancia de la identidad realdel atacante. Al menos, si sus ad-

ministradores merecen su sueldo y

saben qu comandos utilizar.

Ataques Smurf

El ataque smurfutiliza una caracte-

rstica de Internet: broadcast. Toda

red tiene lo que se denomina una

direccin de broadcast. Los datagra-

mas enviados a esa direccin son

recibidos por todas las mquinas en

la red local. Ello permite, por ejem-plo, que una mquina localice un

servidor proporcionando un servicio

haciendo una pregunta a la red, no

preguntando mquina por mquina.

El problema de la direccin

broadcast es que suele estar dis-

ponible tambin para usuarios de

fuera de la red local, en particular

para todo Internet. Ello permite, por

ejemplo, que un atacante enve un

pequeo datagrama a toda una red

remota, y que las mquinas de dicha

red respondan todas a la vez, posi-

blemente con un datagrama de ma-

yor tamao. Si la red sondeada tiene

150 mquinas activas, la respuesta

es 150 veces ms intensa. Es decir,

se consigue un efecto multiplicador.

Ataques DNS

y de enrutamiento

La mayora de los protocolos de

enrutamiento como RIP (Routing

Information Protocol) o BGP (Border

Gateway Protocol) carecen de auten-ticacin, o tienen una muy sencilla.

Se trata por tanto de un escenario

perfecto para que cualquier atacante

Listado 1. Haciendo ping a 192.168.0.1 con 32 bytes de datos

Respuestadesde192.168.0.1:bytes=32tiempo

7/14/2019 21_2007_ES

26/84

www.hakin9.org

Ataque

6

pueda alterar las rutas correctas y,

falsicando su IP origen, crear una

condicin DoS. Las vctimas de es-

tos ataques vern como su trco se

dirige por ejemplo hacia un agujero

negro: a una red que no existe.

Los ataques DoS sobre servido-

res de nombres de dominios (DNS)

son tan problemticos como los an-

teriores. Estos ataques intentan con-

vencer al servidor DNS, por ejemplo,

para almacenar direcciones falsas:

cuando un servidor DNS realiza una

bsqueda el atacante puede redirec-

cionar a su propio servidor o bien a

un agujeronegro.

Ataques DDOS

Los ataques DDoS son ataques

DoS, pero distribuidos, es decir me-

diante mas host remotos.

Analizando los ataques(DDoS)

Como ya hemos mencionado antes,estos tipos de ataques se basan en

coordinar una serie de host conecta-

dos a Internet de tal forma que con-

centren su ataque simultneamente

y desde diferentes lugares, sobre un

nico objetivo. Los distintos tipos de

ataques DDoS, como por ejemplo,

colapsar un servicio simulando co-

nexiones de miles de usuarios a la

vez, o haciendo que el tiempo de

espera sea elevado, aumentado de

esta forma el tiempo de respuesta,generando as una gran cantidad de

trco que como consecuencia del

gran consumo de ancho de banda

(bandwicht) agota los recursos de

una aplicacin/servidor. Algunas de

las causas que hacen que el DDoS

sea un ataque tan extendido es,por

ejemplo, que el protocolo TCP/IPno

tenga seguridad: ya que se dise

para su empleo en una comunidad

abierta y conada y la versin que

actualmente se usa tiene defectos

inherentes y graves. No puede mo-

dicarse o implementarse otro tipo

de seguridad por el simple motivo

de que Internet dejara de funcionar.

Igualmente muchas implementacio-

nes del TCP/IP en sistemas opera-

tivos e incluso dispositivos fsicos de

red, tienen defectos que debilitan su

capacidad para resistir ataques.

Estructurandoun ataque DDoS

Un usuario ilegitimo, busca con elataques DDoS agotar los