SEGURIDAD Y PRIVACIDAD DE LA
DANNY JOHAN RIOS BARONA
UNIVERSIDAD POPULAR DEL CESAR, SECCIONAL AGUACHICA
FACULTAD DE INGENIERÍAS Y TECNOLOGÍAS
INGENIERÍA DE SISTEMAS
VIII SEMESTRE
2010
TALLER
1. ¿Qué tipos de ataques se realizan alas redes de datos?
RTA//
Que es un ataque a la red:
La mayoría de las organizaciones poseen redes de área local LAN y conexiones a Internet WAN que permite el intercambio de información y el uso de recursos compartidos entre sus usuarios.
Tipos de ataques a la red:
Existen diferentes tipos de ataques alas redes de datos entre los cuales se encuentran:
1. Ataques de escaneo:
Los ataques de escaneo se realizan para la recopilación de información sobre posibles puertas de acceso a la red. Consisten en recopilar la información de que puertos están escuchando en la red para posteriormente acceder a los recursos a través de ellos.
1.1 Ataque por Fragmentación:
Como su nombre indica, consiste en fragmentar los paquetes de ataques SYN (SYN es un bit de control dentro del segmento TCP, que se utiliza para sincronizar los números de secuencia iníciales) y FIN (es un flag (bandera) que identifica a un paquete como el último de una conexión. Es sólo un identificador y no cierra la conexión sino que avisa el cierre de la misma), para que los filtros de la red no puedan detectarlos.
Es poco efectivo ya que genera tal cantidad de pequeños paquetes que son enviados a la victima, que pueden llegar a bloquear tanto los recursos del atacante como saturar las colas de los posibles filtros de la red (firewalls).
1.2 Snnifing:
El ataque Snnifing se considera un ataque pasivo, porque realmente sólo recopila y almacena la información que circula por la red.
Estas herramientas se pueden instalar tanto en quipos de la red como en equipos de comunicaciones de la red. Para efectuar este tipo de ataque, estas herramientas software ponen la tarjeta de red en modo “promiscuo” es decir todo los paquetes que lleguen a ese punto, en lugar de comprobar la IP y si no son para ese equipo lanzarlos de nuevo, son analizados como legítimos.
Además de recopilar las direcciones de la red, estas herramientas pueden almacenar datos más comprometidos como passwords de recursos compartidos de cuentas de correo
1.3 Snooping:
Este tipo de ataque también es pasivo, también escucha en la red todo el trafico, pero a diferencia del anterior, este ataque permite acceder a datos e incluso descargar los mismos para una manipulación posterior.
2. Ataques de autentificación
Los ataques de autentificación consisten en introducirse en un sistema suplantando la identidad de un usuario o del propio administrador. O bien se aprovecha una sesión establecida por el usuario, o bien con los datos obtenidos de los ataques de escaneo.
2.1 Spoofing – looping:
El Spoofing-looping es una combinación de ataque de suplantación de identidad y borrado de huellas. El atacante accede al sistema suplantando la identidad de algún usuario preferentemente el administrador con la información que se obtuvo del ataque de escaneo, y después va saltando por la red, aprovechando las relaciones de confianza entre las redes.
En cada nueva red accesible el atacante realiza de nuevo escaneo para acceder como usuario legitimo y en conjunto desde el origen al destino pueden existir muchas estaciones, esto genera muchos problemas a la hora de rastrear, tanto legislativos porque al saltar de un equipo a otro podemos cambiar de país con sus correspondientes normas legislativas como el despliegue humano que conlleva, el rastreo.
2.2 DNS Spoofing
Los DNS son servidores distribuidos por la red que ejecutan servicios de traducción de direcciones IP numéricas a nombres.
Sin los DNS la dirección de una página web seria numérica, y mas difícil de recordar
. 2.3 WEB Spoofing
En este ataque lo que se suplanta es un sitio web por completo.
La finalidad de este ataque es la recopilación de todo tipo de información que se puede recoger de los usuarios de la página. Entre los datos se pueden recopilar nombres de usuarios contraseñas números de cuenta corriente etc.
Además, el atacante tiene plena disposición para cambiar cualquier dato que sea introducido por la victima.
Una de las ventajas que tiene es la adaptación a los cambios, podemos cambiar la dirección Ip de un servidor y su nombre permanecerá sin que los usuarios sufran ningún contratiempo.
Los DNS trabajan en zonas he intercambian la información que poseen con otros de otras zonas. DNS Spoofing se refiere a un servidor que esta recibiendo información de un host no autorizado para prestar este servicio con fines maliciosos, como la redirección hacia páginas incorrectas al acceder a la web.
2.4 ARP Spoofing
Una de las soluciones para evitar el sniffing en una red es segmentarla usando un switch. Esto mejora los efectos de este tipo de ataques pero da paso a otros aprovechando las vulnerabilidades del switch.
2.5 IP splicing-Hijacking
Son ataques de apropiación de identidad. Se producen en sesiones ya establecidas, el atacante espera a recibir la información del ingreso del usuario en el sistema y se apropia de su identidad para acceder.
Para protegerse de este tipo de ataques se utilizan las sesiones seguras en las que los datos van cifrados, por ejemplo usando el protocolo SSH de cifrado(es un protocolo que facilita las comunicaciones seguras entre dos sistemas usando una arquitectura cliente/servidor y que permite a los usuarios conectarse a un host remotamente. A diferencia de otros protocolos de comunicación remota tales como FTP o Telnet, SSH encripta la sesión de conexión, haciendo imposible que alguien pueda obtener contraseñas no encriptados). http://web.mit.edu/rhel-doc/4/RH-DOCS/rhel-rg-es-4/ch-ssh.html.
2.6 Ataques de Modificación-daño
Este tipo de ataques son los más peligrosos porque actúan sobre los datos o los programas instalados, modificando o borrando los archivos.
Estos ataques necesitan primero de los anteriores para obtener la información necesaria de la red y normalmente es el objetivo final de un intruso. Estos ataques se efectúan sobre el software o los datos del sistema con la finalidad de sustituir el software original por otro malicioso y los archivos de datos de la victima por otros que pueden llevar incorporados virus o troyanos.
2.7 Tampering o Data Diddling
Con este tipo de ataques se puede hacer mucho daño a entidades como bancos, ya que al acceder al sistema, si se han conseguido los permisos oportunos, deja libre al atacante para crear por ejemplo cuentas falsas o modificar las existentes y desviar dinero de una a otra.
El uso de virus en sistemas, también es considerado como un ataque de modificación o daño, por ejemplo los troyanos ocultos en programas que efectúan operaciones de modificación y borrado sin el control del usuario que los esta usando.
Existen troyanos que permiten el acceso a la computadora desde la red permitiendo que el atacante tome el control remotamente, los mas conocidos Back Orifice y NetBus entre otros.
Otra de las finalidades de estos ataques es desacreditar a entidades cambiando la página de inicio Web de una organización por otra de contenidos no deseados.
2.8 Borrado de huellas:
El atacante cuando accede a un sistema lo hace aprovechando las vulnerabilidades que este tiene, estas acciones se pueden ver reflejadas en los logs del sistema, monitores de red o si nuestra red posee un firewall en los logs del firewall.
Es importante una vez realizado el ataque saber borrar las huellas que son todas aquellas operaciones que se han realizado en el sistema durante el acceso indebido.
Estas operaciones se almacenan en el sistema en diferentes archivos denominados logs. Un log es un archivo normalmente de texto, donde quedan registradas con menor o mayor detalle, todas las acciones que se producen en un sistema. Actúan como diario del sistema y sirven para que el administrador lleve un control de todo lo que sucede y cuando sucede.
Estos logs deben ser debidamente manipulados para que el administrador no descubra por donde se accedió y que se instalo o modifico y así corregir la vulnerabilidad o rastrear el acceso. Los logs son configurables por los administradores del sistema, y son de gran ayuda a la hora de detectar posibles problemas.
Cuando se ataca un sistema se hace imprescindible borrar huellas modificando los distintos logs del sistema en los que queda reflejado todo lo que se ha hecho, si no se eliminan dichas huellas el administrador del sistema, puede averiguar por donde se accedió y que se hizo en el sistema y así poder evitar posteriores nuevos accesos.
Si se borran las huellas, encontrar los posibles agujeros es una tarea mas complicada para el administrador.
2.9 Ataques ActiveX
ActiveX es un conjunto de elementos desarrollados por Microsoft para darle al entrono Web un aspecto más vivo y dinámico.
Para prevenir las vulnerabilidades ActiveX utiliza certificados y firmas digitales, con entidad certificadora; aceptando un el control ActiveX, estamos dando capacidad suficiente al control para ejecutarse sin restricciones.
Si es el Administrador o un usuario con permisos de administrador el que acepta el control, el acceso sobre el sistema es total, la mayoría de la gente acepta el control sin advertir de donde viene, y en ocasiones estos controles pueden ser inicio de un ataque con controles ActiveX.
La forma de actuar de estos controles dañinos se basa en la manipulación de algunos exploradores haciendo que no se solicite la confirmación a través de la entidad certificadora a la hora de descargarse un control.
2.10 Ataques por vulnerabilidades
Las vulnerabilidades son puntos débiles de nuestros sistemas que son aprovechados parar acceder y realizar alguna acción maliciosa.
El software que utilizamos es sometido a numerosas pruebas para detectar y corregir las vulnerabilidades, pero esto no garantiza al 100% que no este libre de ser vulnerable.
Los desarrolladores de software cuando detectan alguna vulnerabilidad, la corrigen con los famosos parches.
Estas debilidades dan pie a numerosos ataques a través del red, un ejemplo son los virus que se introducen en el sistema explotando las vulnerabilidades o agujeros del sistema operativo. Los ataques que explotan las vulnerabilidades, se realizan por norma general remotamente, accediendo a través de la red.
Entre los ataques mas conocidos destacaremos:
- Ataques de “Ingeniería social”:
Estos ataques son los mas efectivos si el atacante tiene habilidad para convencer al usuario de realizar acciones para revelar login y passwords que serán usados posteriormente por el atacante.
Se pueden hacer o bien por teléfono o por correo electrónico. Suplantando la identidad del Administrador del sistema.
Los datos solicitados se usaran posteriormente para acceder al sistema remotamente.
- Trashing o ataques de monitorización:
Este ataque consiste en monitorizar el sistema para descubrir posibles agujeros de seguridad que serán explotados posteriormente.
La única manera de mantenerse en la medida de lo posible a salvo de este tipo de ataque, es tener el sistema lo mas actualizado posible instalando los parches suministrados por el fabricante del software, y nunca revelar datos del sistema si no se conoce la fuente que los esta solicitando.
3. Ataques de puertas traseras BACKDOORS
Estos ataques son los mas desconocidos, pero no por ello los menos dañinos y habitualmente utilizados.
Una puerta trasera en si es un programa que permite remotamente acceder a un sistema con total libertad de movimientos, es un acceso a un sistema o programa de tal manera que para el usuario es transparente.
Las puertas traseras se pueden producir por dos causas:
- Cuando un programador desarrolla una aplicación y establece que puertas traseras para acceder al programa mas rápidamente en la fase de pruebas.
- Por error o por fallos que se producen posteriormente, (Una puerta trasera no es peligrosa en si, pero si es cierto que es una entrada al sistema no controlada y esto si es peligroso para la seguridad e integridad).
Pero como funcionan realmente?
La mayoría de las puertas traseras se introducen en nuestro sistema en forma de troyanos, que son programas encubiertos en otros, cuya finalidad es siempre malévola.
Para poder utilizar las puertas traseras debe existir un cliente y un servidor, los troyanos tienen la capacidad del instalar en el sistema un servidor para posteriormente acceder como cliente al PC y tener control remoto.
Una de las características de este tipo de ataque es que necesita de la colaboración de la victima, por lo que es importante saber de donde proceden los archivos o programas que recibimos y no aceptar nada que provenga de gente desconocida.
Estos programas se instalan sin que la victima tenga conocimiento de ello y se ejecutan en segundo plano, por ello no son visibles por la victima.
Algunos de los efectos producidos por la instalación de BackDoor son:
- Monitorización del sistema completo.
- Descarga de virus.
- Desinstalación e instalación de programas.
- Borrado de información de usuario.
- Manipulación del registro del sistema.
Algunos de los agentes externos que se aprovechan de estas “Puertas traseras” con fines malintencionados son:
Explotis:
Los exploits aprovechan las vulnerabilidades de los programas instalados para introducirse en el sistema.
Existen multitud de exploits a la carta para explotar los errores del software instalado. Normalmente son programillas que están escritos en lenguajes de bajo nivel como C.
La ejecución de los exploits depende de la localización.
- Locales:
Se deben ejecutar en la maquina localmente, para lo que se requiere un acceso a la misma.
- Remotos:
Se ejecutan desde un PC remoto y actúan sobre otro de la red a través de puertos abiertos por servicios con vulnerabilidades.
Como es habitual la mejor manera de tener un sistema protegido contra los exploits es la continua actualización con los parches que corrigen las vulnerabilidades antes mencionadas.
Obtención de passwords Cracking:
Consiste en obtener las claves de acceso a los equipos a través de herramientas que realizan todas las combinaciones posibles, hasta dar con la correcta.
Este tipo de ataques son conocidos como ataques por fuerza bruta.
Poner passwords demasiado evidentes, o no cambiar nunca la palabra de paso hace más sencillo este tipo de ataque.
Uso de diccionarios:
Se denomina así a un tipo de programas capaces de probar multitud de claves hasta encontrar la correcta. Estos ataques se pueden realizar por varios computadores simultanemente procesando datos.hasta dar con la clave buscada.
2. ¿Qué es la criptografía?
La criptografía es el arte de la escritura secreta. El principio básico de la criptografía es mantener la privacidad de la comunicación entre dos personas alterando el mensaje original de modo que sea incomprensible a toda persona distinta del destinatario. La palabra criptografía proviene de las palabras griegas "criptos" (oculto) y "grafos" (escritura), A la transformación del mensaje original en el mensaje cifrado (criptograma) le llamamos cifrado, y a la operación inversa, le llamamos descifrado.
3. Resumen de la criptografía
A continuación les presentare una breve historia de la criptografía.
CRIPTOGRAFÍA CLÁSICA
- La escitala (siglo V a.C.)
El primer caso claro de uso de métodos criptográficos se dio durante la guerra entre Atenas y Esparta, por parte de los lacedemonios. El cifrado se basaba en la alteración del mensaje original mediante la inclusión de símbolos innecesarios que desaparecían al enrollar el mensaje en un rodillo llamado escitala, de longitud y grosor prefijados. Aún sabiendo la técnica utilizada, si no se tenían las dimensiones exactas de la escitala, un posible interceptor del mensaje tenía muy difícil su criptoanálisis. El grosor y la longitud de la escitala eran la clave de este sistema:
Cualquiera que desenrollara la tira se encontraría con:
- AAC SIN ICT COA INL FLA RA AE BS
- El cifrador de Polybios (siglo II a.C.)
Es el cifrador por sustitución más antiguo que se conoce. El método se basaba en una tabla secreta, en cuyos ejes se ponían diferentes combinaciones de letras o números y dentro de la tabla las letras del alfabeto. Cada letra del mensaje a cifrar era sustituida por sus “coordenadas”. Se ve mas claro en el siguiente ejemplo:
Mensaje: Polybios es el rey
Criptograma: CECDCAEDABBDCDDC AEDC AECA DBAEED
Se toman dos caracteres para saber la letra ala que pertenece.
- Cifrado de César
En el siglo I a.C., Julio César presenta este cifrador cuyo algoritmo consiste en el desplazamiento de tres espacios hacia la derecha de los caracteres del texto en claro. Es un cifrador por sustitución mono alfabético, en el que las operaciones se realizan módulo, siendo n igual al número de elementos del alfabeto.
Alfabeto de cifrado del César para castellano
Mensaje: Tu también, brutus?
Criptograma: wx wdoelhp euxwxv?
Aquí termina lo que he denominado historia antigua de la criptografía.
Después de el siglo primero antes de Cristo y hasta el siglo XV de nuestra era, no se conoce de ningún sistema criptográfico de nueva invención (a esa época se la conoce como edad oscura, ya que hubo más retrocesos que avances en absolutamente todas las facetas del saber humano; y la criptografía no iba a ser una excepción).
Historia Moderna
Disco de Alberti
En 1466, León Battista Alberti, músico, pintor, escritor y arquitecto, concibió el primer sistema polialfabético que se conoce, que emplea varios abecedarios, utilizando uno u otro cada tres o cuatro palabras. El emisor y el destinatario habían de ponerse de acuerdo para fijar la posición relativa de dos círculos concéntricos, que determinara la correspondencia de los signos.
Los diferentes abecedarios utilizados eran representados en uno de los discos, mientras que el otro se rellenaba con el abecedario normal, más los números del 1 al 4.
Este disco define 24 posibles sustituciones dependiendo de la posición del disco interior. Una vez establecida la correspondencia entre caracteres de ambos discos, se sustituye el texto en claro del disco exterior por cada una de las letras correspondientes del disco interior, cambiando al abecedario correspondiente (prefijado por los comunicantes) cada x palabras, habiendo sido x también prefijada por los comunicantes.
Rueda de Jefferson
Este dispositivo fue inventado por el archifamoso Thomas Jefferson (1743-
1826), redactor de la declaración de independencia de Estados Unidos, aunque el primero en fabricarla en serie fue Ettiene Bazeries en 1891.
El aparato consiste en una serie de discos que giran libremente alrededor de un mismo eje y llevan impresas las letras del alfabeto escritas en cada disco en diferente orden. El emisor mueve los discos hasta configurar el mensaje en claro, y elige otra línea que será el mensaje cifrado. Tras haber sido transmitido, el receptor no tiene más que poner las letras recibidas en línea y buscar en otra línea el mensaje en claro.
Disco de Wheatstone
El disco de Wheatstone (1802-1875) realiza una sustitución polialfabetica, muy parecida a la utilizada por Alberti.
El invento consta de dos discos concéntricos: en el exterior se escriben, en orden alfabético, las 26 letras del alfabeto ingles más el espacio, y en el interior se distribuyen esas mismas 26 letras pero aleatoriamente.
Sobre los discos hay dos “manecillas” como las de un reloj, de forma que a medida que avanza la mayor por el disco exterior, la menor se desplaza por el disco interior. Cuando el puntero grande recorre una vuelta, el pequeño da una vuelta más una letra. El mensaje en claro se cifraba “prohibiendo” al disco exterior ir en sentido antihorario, siendo el mensaje secreto lo indicado por el puntero menor.
Maquinas posteriores
A parte de estas máquinas relativamente sencillas, podemos encontrar algunos inventos más modernos de cuyo funcionamiento sería imposible hacer una descripción sin meternos de lleno en las leyes de la física que los rigen, por lo que hemos optado por simplemente enumerarlos. Algunos de estos inventos basan su cifrado en algunos de los sistemas que vamos a describir en los siguientes apartados. Cronológicamente ordenados, los citados inventos son:
- Maquina Enigma:
Inventada por Arthur Scherbius en 1923 y usada por los alemanes durante la II Guerra Mundial.
- Maquinas de Hagelin:
Desarrolladas por el criptólogo sueco Boris Hagelin entre 1920 y 1930. Se basaban en el sistema de cifrado de Beaufort, que luego veremos.
- Maquina M-325:
Desarrollada por Frederick FriedMan en los años cuarenta del siglo XX. Es muy parecida a la maquina enigma alemana, ya que también se basa en rotores que realizan una sustitución polialfabética.
Una vez que hemos terminado de ver las diferentes maquinas de cifrado que se han podido desarrollar a lo largo de estos últimos siglos.
Sistemas de cifrado que algunas de ellas utilizaban para encriptar mensajes.
Criptosistema de Vigènere
El sistema de cifrado de Vigenère es un sistema polialfabético o de sustitución múltiple, de clave privada o secreta. Este tipo de criptosistemas aparecieron para sustituir a los monoalfabéticos o de sustitución simple, basados en el Algoritmo de
Cesar que hemos visto anteriormente, que presentaban ciertas debilidades frente al ataque de los criptoanalistas relativas a la frecuencia de aparición de elementos del alfabeto.
El principal elemento de este sistema es la llamada Tabla de Vigenère, una matriz de caracteres cuadrada, que se muestra a continuación:
Un ejemplo podría ser el siguiente, utilizando como clave la palabra prueba y
Como mensaje en claro cifrado de vigenere:
Cifrado: r z z v b d d u y z j g t e y v f
Este método de cifrado polialfabético se consideraba invulnerable hasta que en el S.XIX se consiguieron descifrar algunos mensajes codificados con este sistema, mediante el estudio de la repetición de bloques de letras: la distancia entre un bloque y su repetición suele ser múltiplo de la palabra tomada como clave.
Segundo Cifrado de Vigènere
El segundo cifrado de Vigènere es igual que el primero, sigue utilizando la tabla anterior, salvo en la secuencia de caracteres que se utilizan como clave.
En el primer cifrado esta secuencia clave era la repetición de la clave primaria.
Sin embargo en este segundo algoritmo, la secuencia de caracteres utilizada como clave se obtiene del resto del mensaje original. En el ejemplo anterior, en vez de utilizar por segunda vez como clave la palabra prueba utilizaríamos el conjunto de caracteres cifrad; la tercera vez utilizaríamos odevig, y así hasta el final del mensaje.
Criptosistema de Beaufort
Al igual que el cifrado de Vigènere, es una sustitución periódica basada en alfabetos desplazados, pero utilizando otra tabla diferente (mostrada a continuación), en la que se invierte el orden de las letras del alfabeto y luego se desplazan a la derecha.
Cifrado de Playfair (1854)
El cifrado de Playfair en realidad fue inventado por Charles Wheatstone, para comunicaciones telegráficas secretas en 1854 (de hecho, es el sistema utilizado en el disco de Wheatstone); no obstante se le atribuye a su amigo el científico Lyon Playfair.
Utilizado por el Reino Unido en la Primera Guerra Mundial, este sistema, que ya no es polialfabetica sino poligrámico, consiste en separar el texto en claro en diagramas y proceder a su cifrado de acuerdo a una matriz alfabética de dimensiones 5 X 5 en la cual se encuentran representadas las 26 letras del alfabeto ingles, aunque para una mayor seguridad se puede agregar una palabra clave (añadiéndola a la matriz en lugar de las primeras letras).
Para cifrar se utilizaban las siguientes reglas (vamos a llamar a un par de letras en claro, m1 y m2 y al par resultante como criptograma, c1 y c2):
- Si m1 y m2 están en la misma fila en la matriz de Playfair, c1 y c2 serán las letras que se encuentran a la derecha de m1 y m2.
- Si m1 y m2 están en la misma columna, c1 y c2 serán las letras que están debajo de m1 y m2.
- Si m1 y m2 están en diferentes filas y columnas, c1 y c2 serán las letras que están a la misma distancia del eje de simetría que m1 y m2, en su misma fila.
- Si m1 es igual a m2, se inserta una letra considerada nula (por ejemplo la x) para eliminar esa duplicidad.
- Si el texto en claro tiene un número par de caracteres, se añade uno considerado nulo (la x por ejemplo) al final del mensaje.
Como ejemplo, vamos a cifrar la frase “Me lo robó” con el método de Playfair:
- M1 y m2àM y E: Pertenecen a filas y columnas diferentes: c1 y c2àO y A.
- M1 y m2àL y O: Pertenecen a la misma fila: c1 y c2àM y P.
- M1 y m2àR y O: Pertenecen a filas y columnas diferentes: c1 y c2àT y M.
- M1 y m2àB y O: Pertenecen a filas y columnas diferentes: c1 y c2àD y M.
El mensaje cifrado será: OA MP TMDM
Cifrado de Hill
Surge en 1929, tras la publicación de un artículo en Nueva York por parte del matemático Lester S. Hill, que propone utilizar las reglas del álgebra de matrices en las técnicas de criptografía.
El método es de sustitución monoalfabéticos y poligrámico, y consiste en asignar un valor numérico a cada letra del alfabeto. El mensaje en claro se dividirá en pares de letras y se colocará en una matriz 2x1, que se multiplicará por la matriz resultante de asignar un valor numérico a la clave que se quiere emplear, de 2x2. El resultado de la multiplicación será un par de letras cifradas (una matriz de 2x2·2x1=2x1).
Para descifrar basta con utilizar la matriz inversa de la de la clave. A continuación se describe un ejemplo con mensaje en claro Hola y clave pelo.
Anexo y aconsejo las siguientes páginas:
