21_2007_ES

Embed Size (px)

Citation preview

  • 7/14/2019 21_2007_ES

    1/84

  • 7/14/2019 21_2007_ES

    2/84

  • 7/14/2019 21_2007_ES

    3/84

  • 7/14/2019 21_2007_ES

    4/84

    4 www.hakin9.org

    hakin9

    Bienvenidos en febrero...

    Esta vez no ha tocado esperar mucho para el prximonmero de hakin9. A partir de enero hakin9 es un mensual yespero que ya os hayis acostumbrado a esta nueva perio-dicidad y que disfrutis de la revista an ms. Este nmeroaparecer en vuestras manos acompaado por dos CDspara traeros cada vez ms materiales interesantes.

    En el CD1 encontraris hakin9live, que ya conocis muybien y que, estoy segura, tampoco os decepcionar. Con estemismo disco os entregamos tambin algunos regalos: a qume reero? A las cinco aplicaciones comerciales, que osayudarn a proteger vuestro ordenador y ajustarlo a vuestrasnecesidades individuales. Espero que todas: Powered Keylo-gger, VIP Defense VIP Privacy, LANState, NetIntercept 3.2

    Software Demo y System Tweaker os sirvan bien.El CD2 contiene la segunda parte del curso, cuyo obje-tivo es presentar la informacin bsica requerida durante losexmenes certicados Cisco CCNA.

    A partir de este nmero podemos enorgullecernos dela colaboracin con los representantes de varias empresasdel sector TI, que aportaron a la revista con los artculos dela ms alta calidad. Nos han honrado con su participacinactiva en la creacin del contenido de la revista tales empre-sas como Ecija Soluciones, rtica Soluciones Tecnolgicasy I-SEC Information Security con las cuales esperamosseguir colaborando tambin en el futuro.

    Si hablamos de las empresas habra que mencionartambin el Club PRO, una opcin de suscripcin creada

    especialmente con la idea de ofrecer a las empresas laposibilidad de llegar con su mensaje al pblico ms amplio.

    A todos que todava no conocen esta nuestra oferta osanimo a analizarla, ya que pueden sacar un buen provechode la colaboracin con hakin9!

    Al volver a la presentacin del contenido de hakin9 defebrero, quera recomendaros otra seccin nueva de larevista: los tests de consumidores. En este nmero nos con-centramos en los tests de rewalls y hemos publicado lasopiniones ms interesantes de los que han decidido partici-par en ellos y a los que me gustara en este lugar agradecer.Espero que los tests encuentren su lugar jo en las pginasde hakin9 y que os ayuden a la hora de tomar ciertas deci-siones. Sin embargo, no habr buenos tests sin el apor te de

    vosotros, queridos lectores, por lo tanto no os olvidis decompartir vuestras observaciones y experiencias respecto alos productos que vamos a testear y cuya lista encontrarisen la pgina web de hakin9.

    Entre los artculos ms interesantes de este nmero hayque mencionar:Ataques CSRF: Ataques de falsicacin depeticiones, en el que aprenderis en que consiste un ataqueCSRF, conoceris diferentes tipos de ataque y la mejor pro-teccin contra ellos. En Hardening de sistemas en entornoscorporativos leeris sobre diferentes tcnicas sobre securi-zacin de sistemas y la mejor manera de llevarlas a cabo.Si os interesa el tema de la tecnologa de indenticacin porradiofrecuencias, os invito a leer el artculo RFID-Otro roundentre la funcionalidad y la seguridad.

    Son apenas algunas de las propuestas...y aqu os dejo,desendoos una buena lectura y esperando encontraros elmes que viene...

    Anna Marcinkiewicz

    18

    16

    30

    06

    10

    14

    20

    24

    En breve

    Resaltamos las noticias ms importantes del mundode la seguridad de sistemas informticos.

    Contenido de CD

    CD 1 hakin9.liveComentamos el contenido y el funcionamiento denuestra distribucin hakin9.live.

    CD 2 Curso CCNADescribimos el contenido del CD2.

    Herramientas

    Patriot

    Gonzalo Asensio Asensio

    Patriot: herramienta capaz de monitorizar el compor-tamiento de nuestro sistema.

    Open Source Security InformationManagement

    Francisco Jess Gmez Rodrguez

    OSSIM es una herramienta de monitorizacin deeventos de seguridad en redes.

    Ataque

    Ataques CSRF: Ataquesde falsicacin de peticiones

    Emilio Casbas

    Cross site Reference (XSRF) es una clase de ataqueque afecta a las aplicaciones web.

    Los Ataques DDoS

    Jaime Gutierrez, Mateu Llull

    Los ataques de denegacin en la administracin desistemas.

    Funcin de sobrescritura usandoptrace()

    Stefan Klaas

    Diferentes procesos de las tcnicas de inyeccin queincluyen ptrace().

  • 7/14/2019 21_2007_ES

    5/84

    5www.hakin9.org hakin9 Nr 2/2006

    50

    74

    32

    est editado por Software-Wydawnictwo Sp. z o.o.

    Direccin: Software-Wydawnictwo Sp. z o.o.ul.Bokserska 1, 02-682 Varsovia, PoloniaTfno: +48 22 887 10 10, Fax: +48 22 887 10 11www.hakin9.org

    Produccin: Marta Kurpiewska [email protected]: Monika Godlewska [email protected] jefe: Katarzyna Chauca, [email protected]

    Redactora adjunta:Anna Marcink [email protected]

    Preparacin del CD: Rafa Kwany (Aurox Core Team)Composicin: Sawomir Zadrony [email protected]: Mariusz Muszak, Ral Nanclares, Magorzata Janerka,Rolando FuentesCorreccin: Jess Alvrez Rodrgez, Juan GamezBetatesters: Juan Prez Moya, Jose M. Garca Alias, Luis Peralta Nieto,Jose Luis Herrera, Alvaro CuestaPublicidad: [email protected]

    Suscripcin: [email protected]

    Diseo portada:Agnieszka Marchocka

    Las personas interesadas en cooperacin rogamos

    se contacten: [email protected]

    Si ests interesado en comprar la licencia para editar nuestras revistascontctanos:Monika Godlewskae-mail: [email protected].: +48 22 887 12 66fax: +48 22 887 10 11

    Imprenta: 101 Studio, Firma TgiDistribuye:coedis, s.l.

    Avd. Barcelona, 22508750 Molins de Rei (Barcelona), Espaa

    La Redaccin se ha esforzado para que el material publicado en la revistay en el CD que la acompaa funcione correctamente. Sin embargo, no seresponsabiliza de los posibles problemas que puedan surgir.

    Todas las marcas comerciales mencionadas en la revista son propiedad delas empresas correspondientes y han sido usadas nicamente con nesinformativos.

    Advertencia!

    Queda prohibida la reproduccin total o parcial de esta publicacin

    peridica, por cualquier medio o procedimiento, sin para ello contar

    con la autorizacin previa, expresa y por escrito del editor.

    La Redaccin usa el sistema de composicin automticaLos diagramas han sido elaborados con el programade la empresaEl CD incluido en la revista ha sido comprobado con el programa

    AntiVirenKit, producto de la empresa G Data Software Sp. z o.o .

    La revista hakin9 es editada en 7 idiomas:

    ES PL CZ EN

    IT FR DE

    Advertencia

    Las tcnicas presentadas en los ar tculos se pueden usar SLOpara realizar los tests de sus propias redes de ordenadores!La Redaccin no responde del uso inadecuado de las tcnicas

    descritas. El uso de las tcnicas presentadas puede provocar laprdida de datos!

    hakin9

    68

    82

    58

    78

    Defensa

    Violacin y Aplicacin de Polticasde Seguridad con IDS y Firewall

    Arr igo Triulzi, Antonio Merola

    Un Sistema de Deteccin de Intrusiones en Redes(NIDS) como herramienta de vericacin y como herra-mienta para la aplicacin de la poltica de seguridad.

    Insalacin y conguracin de Open-

    VPN Red Privada Virtual sobre SSLCsar Jimnez Zapata

    Las VPN permiten extender cualquier red local atravs de una red no segura utilizando para elloencriptacin en los datos transmitidos.

    Hardening de sistemasen entornos corporativos

    Sancho Lerena

    Una de las primeras tareas a realizar cuando hay queimplementar seguridad en cualquier red de sistemas

    heterogneos, es la tarea de ajustar la seguridad deestos sistemas.

    Para principiantes

    RFID Otro round entrela funcionalidad y la seguridad

    Ezequiel Martin Sallis

    RFID y lucha eterna del equilibrio entre la seguridady la funcionalidad.

    Tests de consumidoresEn este nmero os presentamos los tests de rewalls.

    Entrevista

    Cunta ms complejidadtecnolgica, la cadenade conanza se alarga...

    Hablamos con Sancho Lerena, Director Tcnico dert ica Soluciones Tecnolgicas.

    Prximo nmero

    Avance de los artculos que se encontrarn en lasiguiente edicin de nuestra revista.

  • 7/14/2019 21_2007_ES

    6/84

    Breves

    www.hakin9.org6

    Ha crecido la familiade gusanos parala mensajera instantneaWORM_SOHANADLa familia de gusanos para

    mensajera instantnea WORM_

    SOHANAD ha crecido, desde un

    nacimiento tmido, hasta convertirse

    en un poderoso conjunto de cdi-

    gos maliciosos. Primero fue iden-

    ticado como un gusano comn,

    propagndose mediante mensaje-

    ros instantneos, SOHANAD pero

    ha crecido al grado de convertirse

    en una familia que recluta otros

    componentes, en un mtodo de

    colaboracin dnde cada quien

    juega un papel que contribuye al

    resultado nal del ataque.Las primeras variantes del

    SOHANAD tenan como objetivo

    la poblacin usuaria de ordena-

    dores de Vietnam. Las variantes

    ms recientes, sin embargo, han

    cedido en enfoque geogrco, y ha

    crecido en trminos del nmero de

    programas de mensajera instant-

    nea que emplea, logrando mayor

    coordinacin en otros aspectos

    conforme van evolucionando.

    Crean una impresora queregistra la identidad del

    usuario en los documentosLas empresas japonesas Ricoh

    y Hitachi Software Engineering

    han desarrollado un sistema que

    registrar las venas de los dedos

    de un usuario en los documentos

    impresos con el n de prevenir la

    ltracin de informacin, informa la

    prensa local.

    El nuevo dispositivo requiere que

    despus de ordenar la impresin el

    usuario se identique poniendo su

    dedo en un lector integrado en la

    impresora, segn el diario econ-

    mico Nihon Keizai.

    La informacin recabada que-

    dar grabada en los documentos,

    gracias a la cual se podr rastrear

    la identidad de la persona que

    imprimi un documento, dice la

    informacin.

    El nuevo sistema tendr una

    capacidad de almacenar infor-

    macin de unas 100 personas

    y costar 15 millones de yenes

    (127.111 dlares). El objetivo de

    ventas es de 200 unidades en tres

    aos, dice el rotativo y agrega que

    Ricoh tiene planes de desarrollar

    junto a Hitachi Software otro tipode programas para incrementar la

    seguridad en las ocinas.

    DigitalParks y la ACM impulsan la seguridadinformtica en la administracin catalana

    Apenas el 30% de los munici-pios catalanes ha adecuadosus bases de datos a la LOPD y el

    50% ni siquiera cuenta con pgina

    web Barcelona, 24 de Octubre de

    2006 - Las administraciones loca-

    les de Catalunya podrn mejorar

    la gestin informtica y asegurar

    el cumplimiento de la Ley Orgnica

    de Proteccin de Datos (LOPD) y

    la Ley de Servicios de la Sociedad

    de la Informacin (LSSI) gracias al

    convenio establecido entre DigitalParks y la Asociacin Catalana de

    Municipios (ACM).

    La digitalizacin de la adminis-

    tracin local catalana es manies-

    tamente mejorable: el 50% de los

    municipios no tiene pgina web,

    apenas un 30,7% cumple la LOPD y

    slo un 16% permite a los ciudada-

    nos realizar gestiones va Internet.

    Estas deciencias tambin afectan

    a la seguridad informtica de los

    datos que gestionan los ayunta-mientos sobre los ciudadanos.

    El acuerdo pone a disposicin

    de los entes locales, a travs de la

    ACM, el avanzado centro de datos

    de Digital Parks en L'Hospitalet de

    Llobregat y un amplio abanico de

    soluciones de seguridad informtica,

    proteccin de datos, presencia en

    Internet y externalizacin tecnol-

    gica. Digital Parks ofrecer aseso-

    ramiento y condiciones preferentes

    a los municipios, consejos comar-

    cales y otros entes locales catalanes

    integrados en la ACM en aspectos

    como:

    Cumplimiento de la Ley Orgnica

    de Proteccin de Datos, utilizando

    servicios de copias de seguridad,

    encriptacin de las comunicacio-

    nes y asesora tecnolgica;

    Cumplimiento de la Ley de Ser-

    vicios de la Sociedad de la Infor-

    macin, con correo electrnico

    seguro, monitorizacin de redes ysistemas y consultora de seguri-

    dad;

    Mejora de los servicios inform-

    ticos y de telecomunicaciones

    mediante la externalizacin,

    evitando costosas inversiones

    a las administraciones locales;

    Presencia en Internet y servi-

    cios telemticos, para acercar

    la administracin local a los

    ciudadanos ofreciendo pginas

    web ms amigables, interactivas

    y seguras que cumplan con nor-

    mativas como la reciente Ley de

    Accesibi lidad para las Adminis-traciones Pblicas.

    El cumplimiento estricto de la

    LOPD y el tratamiento adecuado de

    los datos y sistemas informticos

    en las administraciones locales es

    frecuentemente difcil si se quiere

    hacer de forma interna, ya que

    exige inversiones en instalaciones,

    equipos y personal que muchas

    veces no son econmicamente

    asumibles, aunque exista una rme

    voluntad de llevarlas a cabo, mani-

    esta Joan Maria Roig y Grau, Pre-

    sidente de la ACM. Digital Parks

    ofrece productos y servicios que

    permiten a nuestros asociados dar

    una respuesta a estas necesidades

    con total independencia frente a los

    operadores, fabricantes o distribui-

    dores.

    Este convenio es otro ejemplo

    del compromiso de Digital Parks

    de colaborar con todos los niveles

    de los sectores pblicos y priva-

    dos para mejorar la gestin y la

    seguridad informtica en nuestro

    pas, asegura Robert de Dalmases,

    administrador de Digital Parks. El

    acuerdo se suma a otras inic iativas

    que hemos impulsado con organis-

    mos como Fomento del Trabajo o

    el COPCA que ponen de maniesto

    que modernizar la gestin TIC no

    es una cuestin de dinero, si no de

    voluntad y exibilidad para encon-

    trar una solucin personalizadapara cada necesidad.

  • 7/14/2019 21_2007_ES

    7/84

    News

    www.hakin9.org 7

    Encuentran diversasvulnerabilidadesen IBM WebSphereApplication ServerSe han anunciado varias vulne-

    rabilidades en IBM WebSphere

    Application Server 6.1, que

    pueden ser explotadas por

    usuarios maliciosos con diversos

    impactos como evitar restriccio-

    nes de seguridad, o comprometer

    sistemas vulnerables. El primero

    de los problemas se debe aun

    erroroff-by-one (*) en mod_

    rewrite incluido en el tratamiento

    de esquemas ldap que puede

    ser empleado para provocar un

    desbordamiento de bufer. La

    segunda vulnerabilidad afectadurante el registro de operaciones

    de respuesta, ya que las compro-

    baciones de autenticacin Eal4

    no se realizan como una de las

    primeras acciones. Y por ltimo,

    se ha comprobado que, por

    defecto, todos los usuarios tienen

    autorizacin handleservantnoti-

    cation en Z/Os.

    La web de lacomunidad Second Life,vctima de un virusEste domingo el mundo en

    tercera dimensin Second Lifefue atacado por el virus Grey

    Goo, un programa informtico

    que se instala en la memoria de

    la computadora y se duplica a s

    mismo. El sitio tuvo que cerrar

    su pgina por un corto tiempo

    hasta que se pudo eliminar el

    cdigo malicioso.

    Grey Goo reprodujo anillos dora-

    dos que giraban alrededor de

    todo el sitio de juegos virtuales,

    provocando que los servidores

    de la compaa Linden Lab,

    creadora del juego Second Life,

    estuvieran ms lentos. Second

    Life es un mundo virtual habi-

    tado por personajes o avatares

    que representan a personas

    reales. El juego es utilizado por

    ms de 1,5 millones de usuarios,

    creciendo aproximadamente un

    38 por ciento cada mes, segn la

    firma. En el sitio Web se pueden

    comprar y vender terrenos

    virtuales y objetos con dinero

    real. Se utiliza un copybot que

    puede ser utilizado para hacer

    rplicas de los objetos virtuales

    de las personas sin necesidadde pagar derechos de propiedad

    intelectual.

    Seguridad en Internet con tarjetas de crdito

    Recomendaciones de Visa Inter-nacional en lo que respecta a laseguridad en las terjetas de crdito.

    Los usuarios de tarjetas de crdito

    deben ser cuidadosos al momento

    de manejar el uso de sus plsticos

    y estar alertas al recibir cualquier

    solicitud de informacin condencial

    de parte de cualquier persona o ins-

    titucin. Visa International entrega a

    sus clientes toda la tecnologa de un

    sistema de pago seguro.

    Una de las instancias en quelos consumidores pueden estar

    expuestos al robo de su informacin

    condencial, es la circulacin de una

    serie de correos electrnicos que

    intentan que los receptores accedan

    a un sitio web o que a travs del

    mismo correo entreguen sus datos

    personales o claves referidas a las

    tarjetas de crdito.

    Esto es el denominado Phishing,

    el que consiste en intentar adquirir

    informacin condencial, como lasclaves o nmeros de tarjetas de

    crdito, haciendo creer a la persona

    que los datos son solicitados por la

    empresa de la tarjeta de crdito o

    incluso por el mismo banco.

    En este tipo de engao, los

    receptores del correo son instados

    a ingresar a un sitio web que simula

    pertenecer a alguna institucin o

    empresa de conanza, pero que sin

    embargo corresponde a una pgina

    web falsa. Generalmente el usuario

    no detecta esto, y puede sentirse

    conado de entregar la informacin

    secreta.

    Se recomienda en general:

    Nunca entregues informacin

    de tus claves, nmeros de tarje-

    tas, de cuentas corrientes o de

    cualquier otro producto de uso

    personal y condencial;

    Visa International y sus bancos

    miembros nunca te solicitarn

    informacin de ningn tipo ni porcorreo electrnico ni por telfono.

    Incluso si el correo incluye infor-

    macin e imgenes corporativas,

    no confes en l. Los delincuen-

    tes son capaces de replicar este

    tipo de elementos;

    Este tipo de correos tiene una serie

    de caractersticas que te ayudarn

    a identicarlos:

    Siempre te solicitarn algn dato

    personal, como tu RUT, nmero

    de cuenta o tarjeta de crdito

    o alguna clave;

    Este tipo de mensajes suele

    hacer un llamado urgente

    a entregar los datos para evitaruna situacin importante, como

    el bloqueo de la tarjeta de crdito,

    el cierre de la cuenta corriente, la

    actualizacin urgente de datos,

    entre otros. Este mensaje busca

    que el receptor entregue la infor-

    macin sin medir las consecuen-

    cias ni pensar en que se puede

    tratar de un engao;

    Para que entregues los datos,

    te pedirn que accedas a algn

    link, llenes un formulario o abras

    algn archivo adjunto;

    Generalmente se dirigen al recep-

    tor del mensaje como Estimado

    cliente o alguna frase similar,

    pero no son personalizados con

    el nombre y apellido del receptor;

    Otra seal que te puede alertar, es

    que el mensaje contenga faltas de

    ortografa o problemas de redac-

    cin, ya que generalmente estos

    mensajes provienen del extran-

    jero;

    Si recibes un correo electrnicoo un llamado de este tipo, avisa

    de inmediato a tu banco emisor.

  • 7/14/2019 21_2007_ES

    8/84

    Breves

    www.hakin9.org

    Los tres principales moto-res de bsqueda en Internetse ponen de acuerdo parafacilitar la indexacin desitios webGoogle, Microsoft y Yahoo! acuer-

    dan ofrecer soporte para Sitemaps

    0.90, un protocolo que facilita a los

    diseadores y programadores de

    pginas web que sus creaciones

    entren dentro de las bases de datos

    de los motores de bsqueda. El

    estndar Sitemaps consiste en una

    forma de identicar en un website

    aquellas pginas que queremos que

    sean indizadas en los motores de

    bsqueda. Esto se hace bsica-

    mente mediante la inclusin de un

    chero en formato XML en el que selistan las URL's de las pginas que

    queremos indizar, de forma que el

    robot de clasicacin del motor de

    bsqueda (crawler) lee dicho chero

    y guarda referencias a las pginas

    que all se le dicen. Alternativamente,

    el mtodo clsico es que el robot

    de clasicacin examine el cdigo

    fuente en busca de enlaces a otras

    pginas del website, entrando en la

    base de datos dichas referencias.

    Los tres principales buscadores de

    Internet, Google, Yahoo! y MSN de

    Microsoft, han acordado ofrecer

    soporte para la versin 0.90 deeste estndar, lo que signica que

    a partir de ahora se les simplica

    la tarea a los diseadores de

    websites para que ordenen las

    pginas que van a entrar en la

    base de datos del motor de bs-

    queda, ofrecindoles mayor control

    sobre lo que se clasica y como se

    clasica. Para saber como hay que

    crear y rellenar el chero XML de

    denicin de las pginas a clasi-

    car, contamos con una estupenda

    gua en el mismo sitio web de Site-

    maps, en Protocol Sitemaps XMLformat: http://www.sitemaps.org/

    protocol.html

    Desde el punto de vista del usuario,

    y segn arman los tres grandes de

    Internet, la adopcin de Sitemaps

    signicar que los resultados de las

    bsquedas realizadas en cualquiera

    de los tres motores sern ms

    correctos y detallados.

    Ms informacin:

    http://www.sitemaps.org/ Website

    ocial para el protocolo Sitemaps

    http://www.google.com/press/

    pressrel/sitemapsorg.html Nota

    de prensa publicada por Googleanunciando su adopcin por parte

    de los tres grandes.

    Inteligencia Articial y Seguridad(virus, phishing y spam)

    La Universidad Humboldt y Stratodesarrollan nuevas tcnicas deInteligencia Articial que resuelven la

    incidencia del spam, el phishing y los

    virus, adems de evitar la clasicacin

    errnea de falsos positivos de spam.

    Cerca del 80% del volumen de

    emails que gestiona Strato en sus

    servidores en toda Europa es spam.

    Desde noviembre 2006, Strato incor-

    pora una nueva tecnologa basada

    en la investigacin cientca sobre

    Inteligencia Articial que protege a susclientes frente a amenazas maliciosas

    como el spam, el phishing o los virus.

    El elevado volumen de spam

    pone de maniesto que los tradicio-

    nales sistema anti-spam no estn

    consiguiendo atajar el problema. El

    correo no deseado sigue colndose

    masivamente en las bandejas de

    entrada de nuestros emails y, lo que

    an es ms grave, hay mensajes que

    sin ser spam son clasicados inco-

    rrectamente como tales, lo que obligaal usuario a revisar regularmente su

    carpeta de spam para cerciorarse de

    que no pierde ningn email valioso.

    Strato ha cambiado radicalmente

    la estrategia tradicional de lucha

    contra el spam. Tras dos aos de

    investigacin en colaboracin con

    la Universidad Humboldt de Berln,

    Strato ha desarrollado una tecnologa

    de proteccin que consigue eliminar la

    incidencia de spam, virus y phishing

    prcticamente en el 100% de los

    casos. La novedad de esta tecnologa

    reside en la aplicacin de tcnicas de

    Inteligencia Articial. En lugar de poner

    el nfasis en el correo no deseado,

    esta nueva tecnologa antispam se

    centra ante todo en el correo deseado,

    de forma que en la bandeja de entrada

    del usuario entren nicamente todos

    y cada uno de los correos deseados

    sin que ninguno de stos resulte cla-

    sicado errneamente como spam. El

    margen de error es de 1-2 probabilida-

    des en cada milln.Ms all de los ltros STA Sta-

    tistical Token Analysis y DCC Dis-

    tributed Checks and Clearinghouse

    que suelen utilizar las tecnologas

    antispam al uso, basados en el

    bloqueo de emails que llevan en el

    asunto determinadas palabras y en

    el nmero de veces que se enva

    un email, la tecnologa de Strato

    aplica algoritmos matemticos que

    incorporan dos nuevas variables

    desarrolladas por expertos en Inte-

    ligencia Articial.

    En primer lugar, el sistema analiza

    el mapa socialentre el destinatario y

    el receptor del email, es decir, la pro-babilidad de que ambos estn unidos

    por una relacin plausible como

    la que une a cliente y proveedor,

    a compaeros de trabajo, etc. Una vez

    hecha esta comprobacin, el email es

    autorizado y entregado a su destina-

    tario. En caso de que la relacin entre

    receptor y destinatario sea inveros-

    mil, el mensaje es reconocido como

    spam y retirado de la circulacin. El

    anlisis del mapa social se realiza de

    forma annima, sin violar la identidadde los usuarios ni la condencialidad

    del contenido de las comunicaciones

    y con un altsimo nivel de acierto.

    La segunda tcnica de Inteligen-

    cia Artical que se aplica a la protec-

    cin antispam, antivirus y antiphising

    de Strato est basada en la Teora

    de Juegos. Sobre la base del ele-

    vado volumen de comunicaciones de

    Internet que gestiona Strato (ms de

    15 millones de emails al da en una

    jornada tipo), el sistema se entrena a

    s mismo para aprendera detectar el

    spam y es capaz de perfeccionar sus

    barreras preventivas.

    La tecnologa antispam es

    igualmente aplicable y ecaz con

    respecto a los ataques de virus.

    Igualmente bloquea los intentos

    de phising monitorizando las URLs

    o direcciones de Internet a las que

    fraudulentamente se intenta remitir

    a los destinatarios de phishing. Si

    la direccin no es la de una entidad

    reconocida y autorizada, el men-saje es automticamente retirado

    de la circulacin sin permitir que

    sea entregado al destinatario.

  • 7/14/2019 21_2007_ES

    9/84

    News

    www.hakin9.org 9

    El robo de contraseasmediante Firefox puedehaber sido explotadoLa vulnerabilidad en el gestor de

    contraseas de Firefox de que

    hablamos aqu hace un par de das

    pudo haber sido explotada ya hace

    un mes, teniendo como vctimas

    a usuarios de MySpace. Mediante

    una falsa pgina de login (que

    Firefox rellena automticamente

    con los datos reales de acceso del

    usuario si ste decidi guardar-

    los en el navegador, y sin mediar

    ningn aviso ni pregunta, puesto

    que la falsa pgina de ingreso es

    una pgina personal que pertenece

    tambin al dominio myspace.com),

    los usuarios son redirigidos a supgina real, pero tras sufrir el robo

    de sus datos de acceso, con lo que

    el atacante puede acceder a sus

    datos personales, etc...

    Basta observar el fuente de la falsa

    pgina de login para descubrir

    que sta tambin enva los datos

    de acceso a un servidor francs,

    si bien esa cuenta parece actual-

    mente deshabilitada.

    Ante la gravedad de esta situacin

    y el conocimiento de su explota-

    cin activa (extremos ambos de

    los que el descubridordel bug

    alert a Mozilla hace diez das), enel propio foro de discusin sobre

    este bug de Mozilla ya hay quienes

    piden(de momento sin xito) que

    se informe a los usuarios de Fire-

    fox sobre este peligro en la mism-

    sima pgina principal de Mozilla y

    en la de descargas de Firefox.

    Google distribuye ungusano a travs de su listade correoEn agosto de 2003 google distri-

    buy el gusano Sobig.Fa traves

    de una lista de distribucin gestio-

    nada con Yahoo Groups.

    Ahora nuevamente el equipo de

    Google Video ha distribuido por

    error el gusano w32/kapser.A

    mediante una lista de distribucin

    gestionada por Google Groups. Al

    parecer en un primer momento fue

    infectado un correo electrnico de

    un miembro del equipo el cual lo

    reenvi a la lista de distribucin de

    Google automticamente.

    Segn responsables de Google a

    est lista estn suscritas 50.000

    personas, de las cuales se des-

    conoce el nmero exacto de decorreos afectados ya que no todas

    reciben mensajes de correo.

    Litcheld: Comparado con Oracle,Microsoft SQL Server es ms seguro

    David Litcheld, reputado inves-tigador de seguridad (especiali-zado en bases de datos) demuestra,

    aportando su extensa experiencia,

    que la base de datos Microsoft SQL

    Server es mucho ms segura que

    Oracle. Ha publicado un informe que

    segn l, no deja lugar a dudas.

    El documento estudia la seguridad

    de Microsoft SQL Server y Oracle

    basndose en fallos (slo en su canti-

    dad, no en su gravedad) reportados por

    investigadores externos y solucionadospor el fabricante. Slo se han incluido

    problemas que afectan a la propia

    base de datos. Por ejemplo no se han

    incluido vulnerabilidades de Application

    Server o Intelligent Agent de Oracle ni

    MDAC (que se considera parte de Win-

    dows, no del servidor) de Microsoft.

    El documento ofrece unas grcas

    muy claras, que comparan los produc-

    tos bandera de Oracle (Database 8, 9

    y 10) contra Microsoft SQL Server 7,

    2000 y 2005 durante los ltimos aos.Si bien la versin 7 de Microsoft sufri

    numerosos problemas de seguridad,

    desde entonces han disminuido drsti-

    camente hasta la versin 2005, que no

    sufre ninguno. Mientras, los problemas

    de seguridad en Oracle han crecido de

    forma desproporcionada.

    Litcheld achaca estos resultados

    de forma determinante al Security

    Development Lifecycle que desarrolla

    Microsoft para su producto, de forma

    que aprende de sus errores mientras

    que Oracle parece no tener nada de

    esto, tropezando una y otra vez en

    la misma piedra, y lo que es peor, ni

    siquiera parecen entender los proble-

    mas que estn intentando resolver.

    El autor, consciente de que

    a pesar de lo objetivo de los nmeros

    las pruebas pueden levantar suspi-

    cacias, se adelanta a las posibles

    controversias que surgirn a partir

    de su informe y responde por ade-

    lantado algunas cuestiones:

    No, Oracle no parece tan malo

    por ser multiplataforma. Esto no

    distorsiona los datos. Casi todos

    sus problemas de seguridad

    afectan a todas las plataformas;

    S, hay varios investigadores inten-

    tando encontrar fallos en el servidor

    SQL 2005 de Microsoft. Y su cdigo

    es ms seguro. Es tan simple como

    que no los encuentran.

    Litcheld adems, muestra en las gr-

    cas slo fallos pblicos y soluciona-

    dos, y adelanta que a Oracle todava

    le quedan al menos 49 por corregir

    y no estn incluidos en las estadsti-cas del informe. Como experto y des-

    cubridor de la mayora de los fallos de

    Oracle que se muestran, se siente

    con la autoridad suciente como para

    que sus resultados no sean refuta-

    dos. Para l, si se busca seguridad,

    la eleccin est clara.

    En Microsoft, obviamente, ya

    notaron su ventaja con respecto a la

    seguridad y realizaron su propio estu-

    dio. En una entrada en un blog ocial

    titulado1 Year And Not Yet Counting...

    ,comparan las vulnerabilidades lista-

    das en CVE (Common vulnerabilities

    and Exposures) de Oracle, MySql e

    IBM Database contra SQL Server

    2005. Sus resultados son tambin

    esclarecedores. Oracle, seguido de

    MySql e IBM, sufren todos ms vulne-

    rabilidades que el producto de Micro-

    soft (versin 2005). De hecho, todava

    no se le ha encontrado ninguna desde

    que fue lanzado hace ms de un ao.

    Se agradecen este tipo de informes

    que abordan la seguridad desde un

    punto de vista fuera de misticismos

    y prejuicios. Litcheld no tiene rela-

    cin con Microsoft, de hecho ha

    encontrado muchas vulnerabilidades

    en casi todos sus productos (aunque

    bastantes ms en Oracle, donde se

    siente especialmente "cmodo"). Por

    tanto, no es slo una tpica compara-

    cin sobre quin es menos inseguro

    en una discusin basada en opiniones

    y gustos, sino que avala la robustez en

    un producto bien conseguido (ademsde una importante deciencia en

    Oracle ya apuntada en otros boletines)

    que bien merece ser mencionada.

  • 7/14/2019 21_2007_ES

    10/84

    hakin9.live

    www.hakin9.org0

    En el disco que acompaa a la revista se encuen-

    tra hakin9.live (h9l) en la versin 3.1.2 aur

    distribucin bootable de Aurox que incluye

    tiles herramientas, documentacin, tutoriales y material

    adicional de los artculos. Para empezar el trabajo con

    hakin9.live, es suciente ejecutar el ordenador desde

    el CD. Despus de ejecutar el sistema podemos regis-

    trarnos como usuario hakin9 sin introducir contrasea.

    El material adicional se encuentra en los siguientes

    directorios:

    docs documentacin en formato HTML;

    art material complementario a los artculos: scripts,aplicaciones, programas necesarios;

    tut tutoriales, tutoriales tipo SWF.

    Los materiales antiguos se encuentran en los subdi-

    rectorios_arch, en cambio, los nuevos en los direc-

    torios principales segn la estructura mencionada. En

    caso de explorar el disco desde el nivel de arranque de

    hakin9.live, esta estructura est accesible desde el sub-

    directorio/mnt/cdrom.

    Construimos la versin 3.1.2 aur h9l en base a la

    distribucin de Aurox 12.0 y de los scripts de generacin

    automatica (www.aurox.org/pl/live). Las herramientas no

    accesibles desde el CD se instalan desde el repositorio

    de Aurox con el programa yum.

    En h9l encontraremos un programa de instalacin

    (Aurox Live Instaler). Despus de instalar en el disco se

    puede emplear el comando yum para instalar programas

    adicionales.

    Tutoriales y documentacinLa documentacin est compuesta de, entre otros, tutori-

    ales preparados por la redaccin que incluyen ejercicios

    prcticos de los artculos.

    Contenido del CD1

    Suponemos que el usuario emplea hakin9.live. Gra-

    cias a ello evitaremos los problemas relacionados con

    las diferentes versiones de los compiladores, la diferente

    localizacin de los archivos de conguracin u opciones

    necesarias para ejecutar la aplicacin en el entorno dado.

    Especialmente para nuestros Lectores CD1 contiene

    aplicaciones comerciales:

    Powered Keylogger

    Powered Keylogger es un programa profesional de au-

    ditora de seguridad (versin de 6 meses) que permite

    monitorear todas las actividades de un ordenador, uso de

    Internet, teclas pulsadas, contraseas, correos electrni-cos entrantes y salientes, etc. El programa se ejecuta en

    modo invisible, en el nivel kernel ms bajo del sistema

    operativo; haciendo imposible que el programa sea local-

    izado. Los informes tambin se mantienen escondidos.

    Caractersticas:

    Graba las actividades de las aplicaciones;

    Graba todas las teclas presionadas;

    Graba todos los clicks del ratn del ordenador;

    Graba todas las contraseas, incluso aquellas archi-

    vadas;

    Monitorea todas las actividades en Internet;

    Captura todos los correos electrnicos enviados y

    recibidos;

    Vigilancia visual de las actividades en el escritorio

    (con capturas de pantalla);

    Administracin de reportes;

    Absolutamente invisible;

    Fcil conguracin;

    VIP Defense VIP Privacy

    VIP Defense VIP Privacy te protege del potencial

    riesgo, haciendo que a los delincuentes no les queda

    Figura 1. hakin9live, Konqueror Figura 2. hakin9live, Konsole

  • 7/14/2019 21_2007_ES

    11/84

    www.hakin9.org 11

    hakin9.live

    nada por robar. VIP Privacy permite a los usuarios

    buscar y seguramente limpiar toda la informacin

    almacenada dentro de tu sistema y de las aplica-

    ciones instaladas. Esto, de ninguna forma, elimina

    tus archivos privados ni cambia el contenido de los

    documentos de usuario.

    Vip Defense Privacy reconoce ms de 700 aplica-

    ciones y unos miles de faltas del sistema que guardan

    tus datos personales y que pueden ser empleadas por

    los delincuentes. Vip Privacy te ofrecer una detallada

    descripcin de cada falta de privacidad encontrada en

    tu sistema. El proceso de bsqueda y eliminacin es

    completamente ajustable a las necesidades individu-

    ales, por lo que siempre tienes el control completo de

    la situacin.

    LANState

    LANState genera el mapa de la red, que acelertener acceso a los anfitriones alejados a caracters-

    ticas y a recursos, y el manejo de sos. El programa

    tambin incluye un nmero de caractersticas tiles

    para obtener la informacin sobre los ordenadores

    alejados. El empleo de LANState hace esencialmente

    ms fcil administrar y supervisar procesos en las re-

    des de cualesquiera gama o tamao. 10-Strike LAN-

    State es una solucin de administracin que permite

    gestionar una red Microsoft Windows de manera muy

    fcil gracias a un gran nmero de funciones muy prc-

    ticas. LANState crea automticamente por ejemplo la

    cartografa de la red, permitiendo as acceder muy

    rpidamente a recursos y propiedades de los servi-

    dores remotos y recuperar una gran cantidad de datos

    de stos. LANState permite de igual modo verificar

    el estado de tu red en todo momento. El programa

    muestra la cartografa de tu red y permite verificar en

    tiempo real el estado de los servidores y ordenadores

    remotos:

    Crea automticamente una cartografa de red esca-

    neando el entorno de red de Windows o un conjunto

    de direcciones IP. A continuacin, puedes guardar

    esta cartografa, imprimirla o exportarla a un archivo

    bitmap;

    Precio de la solucin independiente del tamao de

    la red. Da igual si administras 10 500 equipos, el

    precio de la solucin es el mismo;

    No requiere la instalacin de un cliente en los servi-

    dores u ordenadores remotos;

    Permite acceder a y administrar ordenadores re-

    motos en slo unos clics gracias a la cartografa

    de red creada automticamente por LANState. De

    este modo podrs apagar y reiniciar los equipos y

    servidores remotos, acceder a las fuentes y servi-

    cios remotos, visualizar los informes de sucesos,

    acceder al registro a distancia, hacer listas de los

    procesos, los equipos, los servicios NT, y mucho

    ms;

    Facilita la administracin de los procesos sin importar

    el tamao de la red gracias a la posibilidad de asociaral programa aplicaciones externas, como gestiona-

    dotes de archivos o herramientas de administracin

    a distancia;

    Noticacin automtica mediante un mensaje en la

    pantalla, una seal sonora o un e-mail en caso de

    problema de red;

    Permite enviar mensajes a los usuarios del dominio

    gracias a una mensajera integrada ecaz;

    Permite gestionar las conexiones a tus fuentes com-

    partidas y recibir noticaciones cuando alguien se

    conecta (soporte de logs, noticaciones sonoras y

    listas negras);

    Permite enviar mensajes a los usuarios del dominio

    gracias a una mensajera integrada ecaz;

    Permite gestionar las conexiones a tus fuentes com-

    partidas y recibir noticaciones cuando alguien se

    conecta (soporte de logs, noticaciones sonoras y

    listas negras);

    Contiene numerosas herramientas prcticas para

    los administradores, como el escner de red, el es-

    cner de puerto, ping, rastro de ruta, name lookup,

    etc;

    Es muy fcil de utilizar.

    Figura 3. LANState, 10-Strike Software Figura 4. Pgina ocial de NetIntercept

  • 7/14/2019 21_2007_ES

    12/84

    hakin9.live

    www.hakin9.org2

    NetIntercept

    NetIntercept es una aplicacin de monitorizacin, anli-sis y visualizacin de red. Captura trco de red (el

    paquete completo, no solo las cabeceras), archivos y

    manipula el trco capturado, reconstruyendo bajo de-

    manda sesiones entre equipos de la red monitorizada.

    El anlisis de NetIntercept muestra correos electrni-

    cos, pginas web, imgenes y otros archivos que se

    transeren por la red. Es capaz de reconstruir hasta

    999.999 sesiones a la vez y proporciona una vista com-

    prensible de los datos analizados.

    NetIntercept se vende con diferentes variedades

    de configuracin, proporcionando capturas y alma-

    cenamiento de hasta 1900 Gigabytes de trfico dered. Para adquirir una versin completa de NetInter-

    cept, por favor contacte con Sandstorm Enterprises

    en el telfono +1 781-333-3200, enve un correo elec-

    trnico a [email protected] o realice un pedido

    en http://sandstorm.net/products/quote.

    El programa NetIntercept que se proporciona

    en CD-ROM es una versin de demostracin. Este

    programa que se ejecuta en sistemas Windows NT,

    2000 y XP, esta sujeto a los lmites establecidos en el

    acuerdo de licencia de usuario nal que se muestra du-

    rante el proceso de instalacin. Este software de dem-

    ostracin esta limitado al anlisis de 50 Megabytes de

    datos por base de datos. Adicionalmente, las bases de

    datos estn limitadas a 500 conexiones, el programa

    no soporta captura de trco de red en tiempo real

    y ciertas funciones se encuentran deshabilitadas en

    esta versin de demostracin. Tenga en cuenta que el

    manual que se instala con la versin de demostracin

    del programa corresponde al manual de la versin

    completa del producto.

    Cuando instale NetIntercept, podr abrir la base de

    datos de ejemplo incluida en la instalacin y utilizar el

    programa para realizar anlisis y generar informes en

    dicha base de datos. Una vez que Netintercept haya

    abierto la base de datos de ejemplo, se recomienda ir a

    la cha Summary(para ver la totalidad de la informacin

    de la base de datos), a la cha Views (para consultar

    informacin referente al equipo, imgenes capturadas

    y pginas web), y a la cha "Forensics" (para realizar

    bsquedas en la base de datos). Por favor, consulte elarchivo README y el paseo de demostracin por la

    aplicacin que se encuentran en la raz del directorio de

    instalacin.

    System Tweaker

    System Tweaker es una aplicacin que permite

    modificar la configuracin del software a fin de op-

    timizar el sistema del ordenador. System Tweaker

    permite tanto a los usuarios avanzados como a los

    inexpertos hacer su sistema ms rpido, ms eficaz

    y ms seguro. Agrupando todos los importantes

    ajustes del sistema en una fcil de navegar interfazde usuario te permite ajustar el sistema a tus necesi-

    dades individuales.

    Con System Tweaker puedes:

    tomar control de tu sistema con hasta un mil tweaks

    diferentes;

    navegar de una manera simple y rpida a travs de tu

    Windows y los ajustes del sistema;

    hacer tu sistema Windows ms seguro;

    incremantar la eciencia del sistema;

    simpilcar y acelarar las proceduras de Startup y

    Shutdown. l

    Figura 6. System Tweaker Figura 7. Pgina ocial de Vip Defense

    Figura 5. Powered Keylogger de Eltima

  • 7/14/2019 21_2007_ES

    13/84

    Si no puedes leer el contenido del CD y no es culpa de un dao

    mecnico, contrlalo en por lo menos dos impulsiones de CD.

    En caso de cualquier problema con CD rogamos

    escribid a: [email protected]

  • 7/14/2019 21_2007_ES

    14/84

    hakin9.live

    www.hakin9.org4

    En este nmero vamos a presentaros la se-

    gunda parte del curso CCNA. El objetivo del

    presente cursillo es que los clientes conozcan la

    tecnologa de la empresa Cisco y ayudarles en la con-

    guracin de los routers Cisco. El objetivo principal de la

    ponencia es presentar la informacin bsica requerida

    durante los exmenes certicados Cisco CCNA. La po-

    nencia se concentrar sobre todo, en la parte prctica.

    Sin embargo, no faltarn descripciones de los elementos

    necesarios con el trabajo en un equipo real o simulado.

    Cisco introdujo varios niveles de certicacin, desde

    los bsicos, para cuya consecucin se requieren conoci-

    mientos sobre redes pequeas, que incluyen el mercado

    de pequeas ocinas y redes locales, hasta los ms

    avanzados y complicados entornos de red. Adems de

    la divisin en diferentes niveles de dicultad, los respec-

    tivos ttulos se agruparon teniendo en cuenta los tipos detemas a los cuales se reeren. As podemos conseguir

    el certicado de diseo de redes, conmutacin y routing,

    protecciones, tcnicas de conmutacin en las redes ex-

    tendidas WAN etc.

    Para conseguir cualquier certicado Cisco, debemos

    aprobar al menos uno y normalmente varios exmenes.

    Los conocimientos del candidato se comprueban terica

    y tambin prcticamente. Si bien los niveles bsicos, por

    ejemplo CCNA, se pueden conseguir de manera estn-

    dar, esto es, al aprobar un examen escrito; en cambio, el

    ttulo CCIE requiere aprobar el examen que comprueba

    tanto los conocimientos de teora como los conocimien-tos prcticos. Las pruebas informticas se realizan en los

    centros de exmen Sylvan Prometric y cuestan entre 100

    y 300 dlares.

    El Certicado CCNA (ing. Cisco Certied Network

    Associate) es el primer nivel del certicado editado por

    la empresa Cisco. Este certicado conrma que coneces

    los conocimientos necesarios para la instalacin, con-

    guracin y administracin de pequeas redes informti-

    cas (de hasta los 100 hospedajes). Se puede aprobar el

    examen de certicacin de dos formas. El primero est

    compuesto de dos exmenes: 640-821 INTRO y 640-811

    ICND, que duran respectivamente 75 minutos y 60 mi-

    nutos. El segundo modo est compuesto del examen deuna parte (640-801 CCNA) que dura 90 minutos e inclu-

    ye los temas de los dos exmenes del primer modo. Los

    exmenes se realizan con el ordenador e incluyen tanto

    las preguntas tericas (en forma de la prueba de pregun-

    tas de opcin mltiple) como la parte de simulacin que

    requiere realizar ciertas actividades de conguracin en

    el router o conmutador (switch).

    Como curiosidad podemos mencionar que el examen

    CCIE de dos das es terico y prctico (el nivel superior

    de certicacin de Cisco) y se lleva en el laboratorio de

    Bruselas. La mayora de las personas no son capaces

    de aprobar el examen a la primera. Es una de las prue-bas ms difciles. Todos los certicados Cisco deben

    renovarse cada cierto tiempo, normalmente cada dos

    Contenido de CD2 CCNAo tres aos, es decir, es necesario volver a aprobar los

    exmenes.

    El cursillo est dividido en la parte terica y prcti-

    ca. Al principio conoceremos los trminos bsicos y los

    comandos empleados en la conguracin de los routers

    Cisco. Los laboratorios se dividen en:

    lConexin al router real Cisco y la comunicacin al

    routera travs de la aplicacin HyperTerminal. Abri-

    mos la sesin HyperTerminal. Veremos como por

    primera vez ejecutar el routera travs del empleo de

    los respectivos comandos y de la secuencia de inicio

    y realizar la conguracin bsica del routerreal.lRestablecimiento de contraseas en el router. En

    esta parte se describieron unas tcnicas de restable-

    cimiento de contraseas para los router Cisco. Las

    tareas enumeradas aqu se pueden realizar en la ma-yora de los routerCisco sin modicar los equipos.

    l Introduccin en la interfaz de usuario y comandos

    bsicos. En cambio, aqu durante algunos ejercicios

    conoceremos los bsicos comandos y opciones

    empleadas desde el intrprete de comandos de los

    routerCisco.lCDP. Conoceremos los mensajes bsicos relaciona-

    dos con el protocolo CDP (Cisco Discovery Protocol)

    que es protocolo de la capa 2 que une los protocolos

    de las capa inferiores de los medios fsicos con los

    protocolos de las capas superiores de red. CDP se

    emplea para recibir informacin sobre los dispositivosvecinos. Conguracin del mensaje del da MOTD

    (Message of the Day), es decir el mensaje presenta-

    do en el momento de entrar. Es til para suministrar

    mensajes dirigidos a todos los usuarios de la red.l Introduccin en la conguracin de las interfaces de

    red y las bases del protocolo IP.l Protocolo ARP. Conoceremos las bases del prctico

    empleo del protocolo ARP, es decir, protocolo que

    sirve para translacin de las direcciones de red en

    direcciones de hardware de las tarjetas Ethernet. Em-

    pleado en las redes Ethernet, FDDI y TokenRing. l

    Figura 1.Cisco CCNA

  • 7/14/2019 21_2007_ES

    15/84

    Si no puedes leer el contenido del CD y no es culpa de un dao

    mecnico, contrlalo en por lo menos dos impulsiones de CD.

    En caso de cualquier problema con CD rogamos

    escribid a: [email protected]

  • 7/14/2019 21_2007_ES

    16/84

    6

    Herramientas

    www.hakin9.org

    Inicio Rpido: Sin duda alguna es una realidad quehoy en da hay personas capaces de acceder a orde-

    nadores a travs de numerosas vulnerabilidades yque en la mayora de los casos no somos conscientes

    por un lado de que han accedido a nuestro ordena-

    dor y por otro quien ha entrado y de que forma lo ha

    realizado.

    La seguridad informtica, ha evolucionado desde

    sus inicios hasta hoy, y existen actualmente mtodos

    muy buenos para poder localizar ataques que sufren

    nuestros sistemas y redes, uno de los mtodos utiliza-

    dos son los IDS.

    Por un lado nos encontramos con un sistema IDS

    cuyo uso no es muy extendido en ordenadores perso-

    nales que forman nuestra red, ya sea por falta de apli-caciones como la que explico en esta seccin o porque

    normalmente caemos en el error de montar este tipo

    de sistema en servidores crticos, pero nos olvidamos

    del resto de la red.

    HIDS (Host IDS), es un IDS que controla a unasola mquina, se encarga de monitorizar que el com-

    portamiento de dicha maquina sea bueno, un IDS de

    host es capaz de protegernos ante la entrada de un

    spyware hasta detectar si nos estn creando nuevos

    servicios, usuarios, etc. NIDS (Network IDS), son IDSque analizan todo el trfico de red que hay en ese

    segmento, son los ms utilizados en empresas. DIDS,este es un IDS que mezcla el HIDS y el NIDS (su uso

    es limitado dado la complejidad de su despliegue y

    gestin).

    Pongmonos en situacin: Como buenos Analis-tas de Seguridad, tenemos nuestra red protegida y

    controlada de accesos (a nivel perimetral) mediante

    Firewalls, Appliances antivirus para combatir con las

    plagas de Internet y como valor aadido tenemos NIDS

    en segmentos crticos.

    Pues bien, un da vemos como todo estos sistemas

    no sirven de nada si cualquiera de nuestros usuarios

    cae vctima de un malware (ya sea por el puerto 80 opor un correo no legtimo) cuya rma no es identicada

    por el antivirus ni por los IDS, y es ms su ataque

    se centra en la maquina, modicando por ejemplo

    el chero Host para inutilizar el antivirus e incluso

    para realizar ataques de Pharming (fraude bancario),

    aadiendo en el arranque programas como troyanos,

    creando nuevos usuarios en el sistema, etc, y lo malo

    es que todo esto sucede a oscuras tanto del usuario

    como de nosotros cuya nalidad es proteger nuestra

    red en su mxima integridad.

    Es aqu en esta situacin real donde tiene sentido

    la aplicacin presentada: Patriot.

    Patriotes una herramienta anti- spyware/malware/troyanos /dialer /ataques e incluso virus, funcionamonitorizando la conguracin de Windows y aler-

    tando en el caso que detecte un cambio que pueda

    haber sido provocado por la accin de cualquier tipo

    de Malware.

    Patriot es una potente herramienta capaz de alertar

    ante situaciones tales como por ejemplo, si nos infec-

    tamos con un spyware que quiere redirigirnos a una

    pgina Web para motivarnos a comprar o simplemente

    para subir en visitas, en este caso Patriot alerta decualquier intento de modicacin de la conguracin

    del navegador Internet Explorer, como sabemos lamayora del malware va destinado a este navegador (y

    su uso en empresas es casi obligatorio por compatibi-

    lidad con herramientas corporativas).

    Sistema Operativo:Windows NT/2000/XPLicencia: Freeware

    Destino:IDS (Sistema de deteccin de intrusos) de HostPgina Ofcial:http://www.security-projects.com/

    Patriot es una herramienta IDS de Host, capaz de monitorizar el comporta-

    miento de nuestro sistema sin necesidad de rmas ni patrones y adems nos

    ofrece la funcionalidad de IPS (Sistemas de Prevencin de Intrusos).

    Patriot

    Figura 1. Pantalla con la interface de Patriot y susparmetros de conguracin

  • 7/14/2019 21_2007_ES

    17/84

    17www.hakin9.org

    Herramientas

    En el caso de que nos infecte el sistema un virus, o

    troyano, lo siguiente que hace es poner una entrada en

    el registro de Windows para que al reiniciar el sistema,

    se ejecute el proceso de dicho virus o troyano, en este

    ejemplo, Patriot detecta las modicaciones en las Keysrelacionadas con el arranque de Windows y nos per-

    mite eliminarlas en el mismo momento.

    Uno de los ataques que ms fraude ha ocasionado

    aos atrs, sobre todo en el mbito domestico, son los

    Dialer, estos ataques nos crean conexiones nuevastelefnicas y se conectan a lneas de taricacin

    cara en este ejemplo, Patriot nos avisa de que se ha

    creado una nueva conexin telefnica y nos permite

    eliminarla.

    Cuando nuestro sistema se infecta con un virus,

    est rpidamente se copia en diferentes directorioscrticos Patriot es capaz de decirnos en tiempo reallos cheros que se crean en nuestro sistema, esto nos

    viene muy bien para llevar un control total, adems dealertarnos Patriot nos da la opcin de poder eliminar-

    los.

    En nuestra red se puede dar el caso de que una

    mquina este comprometida por un atacante y esto

    intente realizar ataques a otros ordenadores, uno

    de los ataques ms potentes a nivel de red Lan son

    los Man in the Midle (MitM); Estos son complejos derealizar y muy efectivos, gracias a Patriot estaremos

    protegidos de ellos ya que monitoriza la tabla ARP y

    alerta en caso de cambio.

    Se puede dar el caso que un atacante o incluso

    un usuario de nuestra red, intente acceder a recursoscompartidos de otras mquinas con sistema Operativo

    Windows, este caso Patriot nos avisa de los usuarios

    que estn conectados al sistema y a que recurso estn

    conectados porNetbios.Cuando un Intruso se hace con nuestra mquina

    mediante cualquier vulnerabilidad, probablemente su

    intencin sea mantenerse en el sistema, para ello lo que

    hace es crear un usuario en el sistema (adems en la

    mayora de los casos muy parecido algn usuario o pro-

    ceso del sistema, por ejemplo, usuario WinxpSupport,este tipo de usuario seguro que un usuario normal no lo

    borra por miedo a dejar inestable el sistema.

    Patriot monitoriza la creacin de usuarios avisandoque se han creado y dando la posibilidad de no dejar

    que se creen.

    Si por ejemplo nuestras mquinas se enfrentan con

    un ataque avanzado como por ejemplo los complejos

    RootKits, Patriot detecta la instalacin de nuevosdrivers, muy til para detectar Rootkits en nuestrosistema.

    Una variante ms fuerte y daina del Phishing,

    es el Pharming, este ltimo se basa en vulnerar los

    DNS, ya sea a nivel de ISP o a nivel local de nuestra

    mquina, Patriot monitoriza los cambios producidos en

    el chero Hostesto es muy til ya que gracias a estaherramienta podemos evitar ataques de Pharming y/o

    cualquier intencin negativa que tenga el malware en

    nuestro sistema.

    Tambin puede que nuestra mquina pueda sercomprometida por un intruso, por ejemplo un Spa-mmer para utilizarnos como ordenador Zombi paramandar Spam desde nuestra ubicacin, gracias a la

    monitorizacin de Patriot, que controla el envi masivo

    de correo hacia un servidor SMTP podemos detec-tar infecciones de virus en busca de propagacin o

    spyware para envi de correo.

    Patriot tiene otras funcionalidades que podemos

    ver y congurar (activar o desactivar fcilmente).

    Otros Rasgos tiles: Patriot tiene una interface deconguracin muy sencilla, no consume recursos del

    sistema con lo que es un sistema perfecto para unirlocon otros que se basen en rmas y patrones (lo bueno

    de Patriot es precisamente eso, que no requiere de

    rmas y patrones sino que se basa en hechos certeros

    y en tiempo real).

    En el caso de Patriot y en esto hay que agradecer el

    esfuerzo a su creador (Yago Jess Molina) no solo puede

    actuar como IDS de Host, sino que tambin hace las fun-

    ciones de IPS (Sistema de Prevencin de Intrusos) con lo

    que podemos bloquear y eliminar los ataques en tiempo

    real sin que estos lleguen a daar el sistema.

    Como hemos podido comprobar la Seguridad

    Informtica es un tema homogneo y compacto ya que

    todo tiene que estar lo ms protegido posible, sin duda

    alguna esta herramienta ayudar a muchos adminis-

    tradores de seguridad a tener una red ms controlada,

    able y por supuesto segura.

    La garanta de no tener que depender de si han

    salido rmas para los nuevos virus/spyware/malware,o la deteccin de un ataque ms minucioso, nos har

    la vida ms fcil y productiva dentro de nuestro trabajo

    por el esfuerzo de proteger nuestra empresa ante cual-

    quier ataque o intrusin.

    Gonzalo Asensio Asensio

    Analista de Seguridad InformticaMiembro de ISSA-SPAIN

    Autor del libro Seguridad en Internet

    (http://www.seguridadeninternet.es)

    Figura 2. Pgina ocial de Security Projects

  • 7/14/2019 21_2007_ES

    18/84

    8

    Herramientas

    www.hakin9.org

    La deteccin de ataques en las redes corporativas son

    un problema difcil de solucionar. Nos encontramos ante

    una paradoja, los sistemas de deteccin que tenemospara detectar estos ataques generan una gran cantidad

    de informacin por su alta sensibilidad y esto imposibilita

    la gestin y anlisis de esta informacin. Se trata de la

    paradoja de la informacin.

    Adems esta informacin aparece de forma atmica,

    sin relacin entre s, lo que diculta la abstraccin.

    Es en este punto donde aparecen los sistemas SIM,

    veamos una descripcin general.

    Los sistemas Sim centralizan el proceso de anlisis

    de eventos de seguridad. SIM es el acrnimo de Security

    Information Management. Las principales caractersticas

    de estos sistemas podran reducirse a estas cuatro:

    Anlisis de eventos de seguridad de fuentes diver-

    sas;

    Correlacin de eventos para reducir falsos positivos;

    Posibilitar la reaccin activa, evitando daos mayo-

    res.

    Anlisis post-incidentes. Se obtiene informacin para

    mejorar la seguridad de la red y la deteccin de nuevos

    ataques.

    El problema de estos sistemas reside en su coste,

    tanto de licencia como de implantacin dentro de las

    redes a monitorizar.Llegamos a OSSIM y la cultura open source, de

    hecho su nombre completo es Open Source Security

    Information Management.

    Esta es su denicin formal: OSSIM es una distribu-

    cin de productos open source integrados para constituir

    una infraestructura de monitorizacin de seguridad[1].

    Basada en herramientas open source de gran acep-

    tacin en el mundo de la seguridad: Nessus, Snort, Ntop,

    nmap, rdd, arpWatch,ACID, Spade...

    Nos aporta funcionalidades como un cuadro de

    mandos de alto nivel. Con l podemos acceder de

    forma sencilla a toda la informacin que se esta moni-torizando con un simple vistazo. Como por ejemplo un

    monitor de riesgo, vulnerabilidades, sesiones activas,

    servicios.

    Permite la deteccin de patrones de ataque y situa-

    ciones anmalas. Vase como ejemplo el patrn de

    funcionamiento de un Troyano que abre un puerto no per-

    mitido dentro de un host de la red que su funcionamiento

    normal no contempla el uso de ese puerto (DNS).

    La correlacin es la capacidad de relacionar y proce-

    sar la informacin una vez que esta es homognea. Nos

    Sistema operativo: All POSIX (Linux/BSD/UNIX-likeOSes

    http://sourceforge.net/softwaremap/trove_list.php?form_cat=200

    Licencia: BSD License

    http://sourceforge.net/softwaremap/trove_list.php?form_cat=187

    Destino:Administracin de Red

    Pgina de inicio: www.ossim.net

    Open Source Security Information Managment es una herramiente que sirve

    para monitorizacin de eventos de seguridad en redes.

    Open Source Security InformationManagement

    Figura 1. La arquitectura de una topologa monitorizada por OSSIM

    Red Gestion Ossim

    Red

    ExternaSensories

    Red Corporativa

    FW

    1

    Recoleccin / Normalizacin

    Priorizacin

    Valoracin de Riesgo

    Correlacin

    Indicadores

    Monitores Cons. Forense

    Cuadro de mados

    32

    B.B.D.D

    eventos4

  • 7/14/2019 21_2007_ES

    19/84

    19www.hakin9.org

    Herramientas

    permite crear nuestras propias reglas de correlacin.

    En OSSIM la correlacin forma parte del ncleo y esta

    orientada a adaptarse a las nuevas herramientas que se

    integren en el sistema.

    La valoracin de riesgo proporciona la capacidad

    de decisin sobre la ejecucin de una accin ante

    una amenaza, viendo la amenaza como un evento

    que tiene asociada una abilidad y probabilidad de

    ocurrencia.

    Figura 1 presenta la arquitectura de una topologa

    monitorizada por OSSIM y su funcionamiento interno.

    Desde el cuadro de mandos podemos ver las alarmas

    ms recientes. Estas alarmas se dispararn por medio

    del motor de correlacin.

    El monitor de riesgos mostrar la situacin de cada

    indice de riesgo segn CALM.

    Los eventos los procesan los sensores y son evia-

    dos al servidor OSSIM por medio de un protocolo

    abierto que une al sensor con la capa de recoleccinde eventos(1).

    Los eventos se normalizan y se guardan si procede

    en la base de datos de eventos(2).

    Llegado este momento el se determinara su nivel

    de prioridad y su nivel de riesgo. Si se estima opor-

    tuno este nivel generar una alarma en el panel de

    control(3).

    Las alertas cualicadas pasan al motor de correla-

    cin que actualizara su estado y realimenta de nuevo el

    proceso anterior. Este motor ser el que nos aporte el

    nivel de aprendizaje que renar la deteccin de anoma-

    lias(4).

    A modo de resumen debemos hacer hincapi en

    el motor de correlacin de esta herramienta y en su

    manera de tratar y manipular los eventos que se pro-

    ducen en una red. La correlacin tiene un papel fun-

    damental de cara a la gestin de grandes cantidades

    de eventos, ya que es capaz de aumentar la abilidad

    de las alarmas a part ir de las anomalias detectadas por

    parte de los sensores de la red. Todo esto con la unin

    de software libre.

    Estas lneas no son ms que la punta del iceberg,

    OSSIM es un ocano de posibilidades por explotar. Por

    ello os animo a que esto slo sea una mera introduccin y

    que consultis la documentacin ocial de la herramienta.

    Desde el cuadro de mandos podemos ver las alarmasms recientes. Estas alarmas se dispararn por medio

    del motor de correlacin.

    El monitor de riesgos mostrar la situacin de cada

    indice de riesgo segn CALM (Compromise and Attack

    Level Monitor).

    Francisco Jess Gmez Rodrguez

    P U B L I C I D A D

  • 7/14/2019 21_2007_ES

    20/84

    www.hakin9.org0

    Ataque

    La idea bsica de XSRF es simple; un

    atacante engaa de alguna manera al

    usuario para que realice una accin de-

    terminada en la aplicacin objetivo/vulnerable

    sin que el usuario sepa que acciones estn

    ocurriendo por debajo.

    La forma de trabajo de las sesiones en las

    aplicaciones web implica que el ID de sesin

    temporalmente tiene el mismo signicado que

    las credenciales originales de usuario. Esto

    quiere decir que, mientras la sesin no ha ex-

    pirado, una aplicacin web trata las peticiones

    con IDs de sesin vlidos como peticiones de

    el usuario que previamente inicio la sesin. Si

    un atacante obtiene el ID de sesin de un usua-

    rio autenticado, es posible realizar peticiones

    con los mismos privilegios que el usuario ori-

    ginal. Como resultado de esto, el ID de sesin

    ha sido uno de los principales objetivos en los

    ataques de aplicacin. Por una parte uno de los

    objetivos de ataques cross site scripting (XSS)

    es inyectar cdigo malicioso javascript en la

    respuesta de una aplicacin vulnerable con el

    objetivo de ltrar la ID de sesin de el atacan-te. En dichos ataques, el atacante abusa de el

    hecho que las aplicaciones web no pueden dis-

    tinguir entre peticiones con IDs de sesin con

    origen el usuario legtimo, y peticiones con IDs

    de sesin robadas por un atacante.

    En contraste, cross site request forgery

    (XSRF) es una forma relativamente desconocida

    de ataque que no esta motivada con la intencin

    de robar la ID de sesin. En vez de ello, los

    ataquesXSRFabusan de el hecho que las ma-

    yoras de aplicaciones web no pueden distinguir

    entre peticiones de usuario intencionadas, y peti-

    ciones que el usuario realizo pero sin tener cono-

    cimiento de ello. Por ello no es necesario robar la

    ID de sesin es el propio usuario con privilegios

    el que realizar la accin por nosotros.

    Ataques CSRF: Ataques defalsicacin de peticiones

    Emilio Casbas

    Grado de dicultad

    Cross site Reference Forgery (XSRF) es una clase de ataque que

    afecta a las aplicaciones web con una estructura de invocacin

    predicible. Existe en aplicaciones con una estructura de accin

    predicible y que usen cookies, autenticacin de navegador o

    certicados de cliente.

    En este artculo aprenders...

    En qu consiste un ataque CSRF;

    Diferencia principal con respecto al ataque

    XSS;

    Diferentes tipos de ataque;

    Proteccin contra este tipo de ataques.

    Lo que deberas saber...

    Conocimiento del protocolo HTTP;

    Falsicacin de peticiones.

  • 7/14/2019 21_2007_ES

    21/84

    Ataques CSRF

    www.hakin9.org 21

    FuncionamientoLos ataques CSRF implican peticio-

    nes HTTP falsas, para continuar es

    importante comprender que es una

    peticin HTTP. La web es un entorno

    cliente/servidor y HTTP (Protocolo

    de transferencia de hipertexto) es

    el protocolo que utilizan los clientes

    web y servidores para comunicarse.

    Un cliente web (comunmente un na-

    vegador web) enva una peticin web

    a un servidor web, y el servidor web

    devuelve una respuesta HTTP. La

    peticin de el cliente y la consiguien-

    te respuesta de el servidor crean una

    transaccin HTTP. Un ejemplo bsi-

    co de una peticin HTTP podemosver en la Figura 1.

    En ms detalle, la peticin HTTP

    contiene estos datos (ver Figura 2).

    De una manera ms detallada, lo

    que realmente ocurre entre nuestro

    navegador y el servidor web: ver

    Listado 1.

    En el ejemplo anterior se esta ac-

    cediendo a la pgina www.hakin9.org

    y podemos ver varias cabeceras (en

    negrita) en las peticiones HTTP. La

    cabeceraHost

    es un requerimiento deHTTP/1.1. Existen multitud de cabece-

    ras que pueden ser incluidas en una

    peticin. Para no complicar este art-

    culo se omitirn la mayora de ellas y

    slo se trabajara con las necesarias.

    Mtodos de HTTPLos ataques CSRF se realizan prin-

    cipalmente en aquellas aplicaciones

    que utilizan el mtodo GET para pa-

    sar los parmetros solicitados pero

    tambin es posible realizar este ata-

    que en aplicaciones que utilizan el

    mtodo POST, pero antes de seguir,

    veremos que son estos mtodos y

    para que se utilizan. HTTP dene

    una serie de mtodos que indicarn

    el mtodo interpretado para el objeto

    identicado en la URL, por ejemplo:

    GET http://www.hakin9.org/pl/

    img/glider.png HTTP/1.1

    Utiliza el mtodo GET para conse-

    guir el objeto glider.png que en estecaso se trata de una imagen.

    Los mtodos ms comunes de

    HTTP son:

    GET: Solicita un documento del

    servidor;

    HEAD: Solicita slo las cabeceras

    de un documento del servidor;

    POST: Enva datos al servidor

    para procesarlos;

    PUT: Almacena el cuerpo body

    de la peticin en el servidor;

    TRACE: Traza el mensaje a tra-

    vs de servidores proxy hacia el

    servidor;

    OPTIONS: Determina que mto-

    dos puede usar un servidor;

    DELETE: Borra un documento

    de el servidor.

    Hay que tener en cuenta que no

    todos los mtodos son implemen-

    tados por todos los servidores web,

    pero un servidor web para cumplir

    la especicacin HTTP1.1 slo ne-

    cesita implementar el mtodo GET y

    HEAD. Los mtodos que nos ocupan

    son GET y POST.

    GET: es el mtodo ms comn,

    y recupera cualquier informacin

    identicada por la URL, como ya

    hemos visto.

    POST: El mtodo POST fue

    diseado para enviar datos a el ser-

    vidor. En la prctica es usado para el

    Figura 1. Transaccin HTTP entre el cliente y el servidor

    Peticin HTTP

    Dame el documento IIamado /index.pl

    Respuesta HTTP

    OK, aqui est, es de tip text/htmlCliente Web

    www.hakin9.org

    Servidor Web

    Figura 2. La peticin HTTP en detalle

    GET /Index.pl HTTP/1.1 LInea de comienzo HTTP/1.0.200 OK

    Content-type: text/html

    Content-length: 61

    Aqui va el mensaje

    Expires: Thu, 19 Nov 1981

    08:52:00 GMT

    Cabeceras

    Cuerpo de el

    mensaje "body"

    Accept: text/html

    Host: www.hakin9.org

    Figura 3. Mtodo GET

    GET / HTTP/1.1Host: www.ejemplo.es

    GET / comprar.php?symbol=OBJX&preciol1500&cantidad=3Host: stocks.tienda.es

    www.ejemplo.es victima

    Ataque CSRF

    stocks.tienda.es

    HTTP/1.1 200 OK

    Content-Length: 61

    ...

    ...

    3

    2

    1

  • 7/14/2019 21_2007_ES

    22/84

    www.hakin9.org

    Ataque

    2

    soporte de los formularios HTML.

    Los datos rellenados en un formu-

    lario son enviados a el servidor de

    una manera ordenada tal y como la

    aplicacin que los esta esperando

    los pueda procesar correctamente,

    por ejemplo un programa php que

    los procesa adecuadamente.

    Despus de dar un breve repaso

    a los principales mtodos de HTTP,

    ahora nos centraremos en la infor-

    macin que nos interesa para este

    artculo. Hemos visto los principales

    mtodos de HTTP, nos centramos

    con los que nos ocupa este artculo,

    GET y POST.

    Diferencias entre GET y POST

    El ataque CSRF se centra en las

    aplicaciones que utilizan tanto el

    mtodo GET como el POST para

    realizar sus acciones, pero a travs

    de el mtodo GET es ms fcil de

    llevar a cabo. Vemos las diferencias

    entre estos mtodos.

    En HTML podemos especicar

    dos mtodos para enviar la informa-

    cin de un formulario. El mtodo es

    especicado dentro de un elementoFORMusando el atributo METHOD

    como en este ejemplo:

    La diferencia entre el mtodo GET y

    el POST est en la forma que codi-

    can o envan los datos a el servidor.

    Mientras que el mtodo GET enva

    los datos en la url, el mtodo POST

    lo hace en el cuerpo de el mensaje.

    Las recomendaciones ociales (http:

    / /w ww.w3.org/Protocols /r fc2616 /

    rfc2616-sec9.html#sec9) recomien-

    dan cuando utilizar un mtodo y cuan-

    do utilizar otro, pero esto est fuera de

    nuestro alcance en este artculo.

    CSRF: Ataque bsicoLa variedad ms comn de ataque

    CSRF usa el tag imgde el lenguage

    HTML para falsicar la peticin y uti-lizando el mtodo GET. Para explicar

    como se puede conseguir esto asu-

    mimos que una peticin para http://

    Listado 1. Lo que ocurre entre el navegador y el serviodor

    GET / HTTP/1.1

    Host:www.hakin9.org

    User-Agent:Mozilla/5.0

    (Windows;U;WindowsNT5.1;en-US;rv:1.7.12)

    Gecko/20050915

    Accept:application/x-shockwaveash,text

    /xml,application/xml,application/xhtml+xml,

    text/html;q=0.9,text/plain;q=0.8,video/x-mng,

    image/png,image

    /jpeg,image/gif;q=0.2,*/*;q=0.1

    Accept-Language:es,en-us;q=0.7,en;q=0.3

    Accept-Encoding:gzip,deate

    Accept-Charset:ISO-8859-1,utf-8;q=0.7,*;q=0.7

    Keep-Alive:300

    Peticin HTTP:

    HTTP/1.x200OK

    Date:Tue, 14Nov200615:02:29GMT

    Server:Apache/2.0.54(Fedora)

    X-Powered-By:PHP/5.0.4

    Set-Cookie:PHPSESSID=

    s2mcmtlnk590qavhpir4r5vnu4;

    expires=Wed, 15Nov200615:02:29GMT;path=/

    Expires:Thu, 19Nov198108:52:00GMT

    Cache-Control:no-store, no-cache,

    must-revalidate, post-check=0, pre-check=0

    Pragma:no-cache

    Content-Type:text/html

    RespuestaHTTP

    Figura 4. Esquema de red del ataque, comportamiento del campo

    Timestamp

    INTRANET

    Peficion HTTP

    192.168.0.1

    Respuesta HTTP

    Ataque CSRF

    Cliente ce la

    Intranet autorizado

    HTTP/1.1 200 OK

    Content-Length: 61

    ...

  • 7/14/2019 21_2007_ES

    23/84

    Ataques CSRF

    www.hakin9.org 23

    www.ejemplo.es/image.png nos da

    la siguiente respuesta HTTP:

    HTTP/1.1 200 OK

    Content-Length: 61

    Lo importante de este ejemplo es el

    contenido (HTML). Cuando un na-

    vegador interpreta el HTML de una

    respuesta, enviar una peticin GET

    por cada recurso adicional, tal como

    una imagen que necesita para formarla pgina. En este ejemplo despus

    de interpretar esta respuesta, una pe-

    ticin adicional como la siguiente ser

    enviada para conseguir la imagen:

    GET /image.png HTTP/1.1

    Host: www.ejemplo.es

    La caracterstica principal de esta

    versin es que es idntica a la pe-

    ticin anterior (1. peticin http de el

    cliente) excepto por la ruta de el re-curso. Esto es porque las peticiones

    para las imgenes no son diferentes

    a las peticiones de cualquier otra

    URL. Un recurso, es un recurso; no

    hay un mtodo para que el navegador

    avise a el servidor web que lo que le

    va a pedir es una imagen. Veamos

    esto con ms detalle en la Figura 3.

    Existen varios mtodos para en-

    gaar a un usuario y hacerle visitar

    un enlace especialmente creado, por

    ejemplo mandar al usuario lo que

    parece ser una imagen. En el punto

    1, el usuario realiza click en el enlace

    para visualizar la imagen, pero esta

    imagen no es tal, punto 2, sino que

    es un enlace creado de manera que

    genere una peticin en un servidor

    de una tienda online. La vctima

    si ha estado navegando por este

    sitio sin salir con los mecanismos

    adecuados, todava conservara las

    credenciales de sesin en su cookie

    correspondiente, con lo cual la apli-

    cacin autenticar correctamente al

    usuario. De esta forma podr llevar acabo la peticin que le hemos dicho

    que genere, punto 3, lo que validar

    todo el proceso de compra.

    Al tratarse de una peticin para

    un recurso embebido (una imagen) el

    usuario es completamente inconscien-

    te de que esta pasando realmente, ya

    que la solicitud de estos recursos ocu-

    rren sin el conocimiento de el usuario.

    Este ejemplo est hecho con una

    tienda online, pero de igual manera

    sirve para crear ataques ms peli-grosos, como realizar transacciones

    en banca online, realizar funciones

    administrativas en aplicaciones web

    restringidas. Esto quiere decir que

    es posible acceder a intranets para

    realizar este tipo de ataques. Vamos a

    considerar una aplicacin de intranet

    localizada en http://192.168.0.1/admin

    que permite a usuarios autorizados

    borrar empleados. Incluso con meca-

    nismos de administracin de sesiones

    combinados con el hecho que este

    tipo de aplicaciones no es accesible

    por el exterior un ataque CSRF puede

    tener xito con algo tan simple como:

    Una de las caractersticas ms peli-

    grosa de el ataque CSRF es que el

    usuario legitimo es el que hace la pe-

    ticin pero sin tener conocimiento de

    ello. Por lo que si intentamos buscar

    en los logs de el servidor atacado no

    veremos nada extrao, slo las peti-ciones hechas por los usuarios con

    acceso legtimo. (Ver Figura 4).

    CSRF Ataque con el mtodo

    POST

    Este tipo de ataque aunque mayori-

    tariamente se realiza en aplicaciones

    que usan el mtodo GET tambin es

    posible realizarlo a travs de el mto-

    do POST, a continuacin mostramos

    el mismo ataque que el anterior pero

    con el mtodo POST (ver Listado 2).

    Usar POST en formulariosRealmente no es una proteccin,

    muchos usuarios piensan que

    usando el mtodo POST en vez de

    el GET para enviar los datos de un

    formulario seremos inmunes a este

    tipo de ataque, pero nada ms lejos

    de la realidad.

    A lo que si seremos inmunes

    ser a este mtodo a travs de la

    etiqueta pero hay ms formas

    de esconder una peticin, si la apli-

    cacin de el servidor es predecible

    todava podremos ejecutarlo pero

    esta vez con ayuda de algo de ja-

    vascript como hemos comprobado

    anteriormente.

    Usar tokens MD5

    Uno de los mejores mtodos y que

    los sitios seguros utilizan actualmen-

    te es el uso de cadenas MD5 gene-

    radas por el servidor y vlidas para

    un usuario en una sesin dada, deesta manera nos aseguramos que

    el usuario que tiene privilegios es el

    que realiza las acciones, l

    Listado 2. Mtodo POST

    document.forms[0].submit();

    En la Red

    http://en.wikipedia.org/wiki/Cross-site_request_forgery;

    http://www.w3.org/Protocols/rfc2616/rfc2616-sec9.html;

    http://www.w3.org/Protocols/rfc2616/rfc2616-sec15.html#sec15.1.3; http://www.w3.org/MarkUp/html-spec/html-spec_8.html#SEC8.2;

    HTTP: The denitive Guide. O'Reilly (David Gourley, Brian Totty). 2002.

  • 7/14/2019 21_2007_ES

    24/84

    www.hakin9.org4

    Ataque

    Se caracterizan por su fcil ejecucin y

    su principal rasgo es la dicultad con

    la que pueden ser mitigados DoS es

    el acrnimo the Denial of Service (Denegacin

    de Servicio). Un ataque DoS a un servidor co-

    nectado a Internet tiene como objetivo agotar

    sus recursos, ya sean de ancho de banda o de

    procesamiento, para que sea (prcticamente)

    imposible acceder a l. En principio, el realizar

    un ataque DoS est a disposicin de cualquie-

    ra que disponga de mayor ancho de banda

    que el servidor atacado y/o haya descubierto

    alguna vulnerabilidad del sistema operativo

    que gestiona el servidor (o los routers). Est

    claro que la primera opcin no est al alcance

    de cualquiera por lo que los ataques DoS sue-

    len ser del segundo tipo. Quiz el ataques DoS

    por excelencia es y ser el conocido ping de la

    muerte, que consiste en enviar un ping con un

    paquete de ms de 56k que colapsa el sistema,

    este ataque fu usado en los noventa. Otros

    tipos bsicos de ataque son: DoS mediante

    paquetes ICMP (ping).

    Es una tcnica DoS que pretende agotarel ancho de banda de la vctima. Consiste en

    enviar de forma continuada un nmero elevado

    de paquetes ICMP echo request (ping (1)) de

    tamao considerable a la vctima, de forma que

    esta ha de responder con paquetes ICMP echo

    reply (pong) lo que supone una sobrecarga tan-

    to en la red como en el sistema de la vctima.

    Dependiendo de la relacin entre capacidad de

    procesamiento de la vctima y atacante, el gra-

    do de sobrecarga vara, es decir, si un atacante

    tiene una capacidad mucho mayor, la vctima

    no puede manejar el trco generado.

    Qu es el ping?Se trata de una utilidad que comprueba

    el estado de la conexin con uno o varios

    Los ataques DDoS

    Jaime Gutierrez y Mateu Llull

    Grado de dicultad

    A lo largo del tiempo, los ataques de denegacin de servicio han

    sido un medio que junto con otras aplicaciones (recordemos el

    caso MyDOOM) han sido un verdadero quebradero de cabeza

    para administradores de sistemas y profesionales del sector.

    En este artculo aprenders...

    Todo sobre los ataques DoS;

    Sus distintos tipos de ataques y como intentar

    mitigarlos;

    Conocer como funciona un programa para

    hacer DoS.

    Lo que deberas saber...

    Nociones bsicas sobre las redes TCP/IP;

    Conocimientos de programacin.

  • 7/14/2019 21_2007_ES

    25/84

    Los Ataques DDoS

    www.hakin9.org 25

    equipos remotos, por medio de

    los paquetes de solicitud de eco

    y de respuesta de eco (denidos

    en el protocolo de red ICMP) para

    determinar si un sistema IP espe-

    cco es accesible en una red. Es

    til para diagnosticar los errores en

    redes o enrutadores IP:

    C:\>ping 192.168.0.1

    Estadsticas de ping para 192.168.0.1:

    Paquetes: enviados = 4,

    recibidos = 4, perdidos = 0

    (0% perdidos),

    Lo que vemos en la pantalla es una

    respuesta mostrando la cantidad

    de bytes que se estn enviando y

    el tiempo que se demoran dichos

    paquetes.

    Al nal del test se muestra un resu-

    men con las estadsticas de la prueba.

    Ataque LAND

    Un ataque LAND se produce al en-

    viar un paquete TCP/SYNfalsicado

    con la direccin del servidor objetivo

    como si fuera la direccin origen y

    la direccin destino a la vez. Esto

    causa que el servidor se responda

    a s mismo continuamente acabe

    desbordndose y al nal falle.

    Connection FlooD

    Todo servicio de Internet orientado a

    conexin (la mayora) tiene un lmite

    mximo en el nmero de conexionessimultaneas que puede tolerar. Una

    vez que se alcanza ese lmite, no se

    admitirn conexiones nuevas.

    As, por ejemplo, un servidor Web

    puede tener capacidad para atender

    a mil usuarios simultneos. Si un

    atacante establece mil conexiones

    y no realiza ninguna peticin sobre

    ellas, monopolizar la capacidad

    del servidor. Las conexiones van

    caducando por inactividad poco a

    poco, pero el atacante slo necesita

    intentar conexiones nuevas constan-

    temente, como ocurre con el caso

    del syn ood.

    Afortunadamente este ataque

    implica que la conexin tiene lugar o,

    lo que es lo mismo, que se completa

    la negociacin en tres pasos que co-

    mentbamos en la seccin anterior.

    Debido a ello la mquina atacada

    tiene constancia de la identidad realdel atacante. Al menos, si sus ad-

    ministradores merecen su sueldo y

    saben qu comandos utilizar.

    Ataques Smurf

    El ataque smurfutiliza una caracte-

    rstica de Internet: broadcast. Toda

    red tiene lo que se denomina una

    direccin de broadcast. Los datagra-

    mas enviados a esa direccin son

    recibidos por todas las mquinas en

    la red local. Ello permite, por ejem-plo, que una mquina localice un

    servidor proporcionando un servicio

    haciendo una pregunta a la red, no

    preguntando mquina por mquina.

    El problema de la direccin

    broadcast es que suele estar dis-

    ponible tambin para usuarios de

    fuera de la red local, en particular

    para todo Internet. Ello permite, por

    ejemplo, que un atacante enve un

    pequeo datagrama a toda una red

    remota, y que las mquinas de dicha

    red respondan todas a la vez, posi-

    blemente con un datagrama de ma-

    yor tamao. Si la red sondeada tiene

    150 mquinas activas, la respuesta

    es 150 veces ms intensa. Es decir,

    se consigue un efecto multiplicador.

    Ataques DNS

    y de enrutamiento

    La mayora de los protocolos de

    enrutamiento como RIP (Routing

    Information Protocol) o BGP (Border

    Gateway Protocol) carecen de auten-ticacin, o tienen una muy sencilla.

    Se trata por tanto de un escenario

    perfecto para que cualquier atacante

    Listado 1. Haciendo ping a 192.168.0.1 con 32 bytes de datos

    Respuestadesde192.168.0.1:bytes=32tiempo

  • 7/14/2019 21_2007_ES

    26/84

    www.hakin9.org

    Ataque

    6

    pueda alterar las rutas correctas y,

    falsicando su IP origen, crear una

    condicin DoS. Las vctimas de es-

    tos ataques vern como su trco se

    dirige por ejemplo hacia un agujero

    negro: a una red que no existe.

    Los ataques DoS sobre servido-

    res de nombres de dominios (DNS)

    son tan problemticos como los an-

    teriores. Estos ataques intentan con-

    vencer al servidor DNS, por ejemplo,

    para almacenar direcciones falsas:

    cuando un servidor DNS realiza una

    bsqueda el atacante puede redirec-

    cionar a su propio servidor o bien a

    un agujeronegro.

    Ataques DDOS

    Los ataques DDoS son ataques

    DoS, pero distribuidos, es decir me-

    diante mas host remotos.

    Analizando los ataques(DDoS)

    Como ya hemos mencionado antes,estos tipos de ataques se basan en

    coordinar una serie de host conecta-

    dos a Internet de tal forma que con-

    centren su ataque simultneamente

    y desde diferentes lugares, sobre un

    nico objetivo. Los distintos tipos de

    ataques DDoS, como por ejemplo,

    colapsar un servicio simulando co-

    nexiones de miles de usuarios a la

    vez, o haciendo que el tiempo de

    espera sea elevado, aumentado de

    esta forma el tiempo de respuesta,generando as una gran cantidad de

    trco que como consecuencia del

    gran consumo de ancho de banda

    (bandwicht) agota los recursos de

    una aplicacin/servidor. Algunas de

    las causas que hacen que el DDoS

    sea un ataque tan extendido es,por

    ejemplo, que el protocolo TCP/IPno

    tenga seguridad: ya que se dise

    para su empleo en una comunidad

    abierta y conada y la versin que

    actualmente se usa tiene defectos

    inherentes y graves. No puede mo-

    dicarse o implementarse otro tipo

    de seguridad por el simple motivo

    de que Internet dejara de funcionar.

    Igualmente muchas implementacio-

    nes del TCP/IP en sistemas opera-

    tivos e incluso dispositivos fsicos de

    red, tienen defectos que debilitan su

    capacidad para resistir ataques.

    Estructurandoun ataque DDoS

    Un usuario ilegitimo, busca con elataques DDoS agotar los