CH1-P3

Enviado por Chris_95 el Mié, 15/03/2017 - 16:01
CH1-P3

Posibles Atacantes

Podríamos dedicar un libro completo a los ataques que se han lanzado en los últimos 15 minutos en algún lugar del mundo contra un recurso de red, una sección de infraestructura critica o un conjunto deseado de datos propios. En lugar de tratar de enumerar los miles de ataques que podrían amenazar redes vulnerables, comencemos por ver los tipos de adversarios que pueden estar detrás de los ataques:

-Terroristas

-Criminales

-Agencias gubernamentales

-Estados nacionales

-Hackers

-Empleados descontentos

-Competidores

-Cualquiera con acceso a un dispositivo informático (triste, pero cierto)

Diferentes términos se utilizan para referirse a estas personas, incluyendo hacker/cracker (hacker criminal), Script-kiddie, hacktivista, y la lista continua. Como practicante de seguridad, tú quieres ''entender a tu enemigo''. Esto no quiere decir que todo el mundo debe aprender a ser un hacker o escribir malware, porque eso realmente no va a ayuda. En su lugar, el punto es que es bueno entender las motivaciones e intereses de las personas involucradas en romper todas esas cosas que buscan proteger. También es necesario tener una buena comprensión de su red y entorno de datos para saber lo que es vulnerable y lo que puede ser objetivo de los actores maliciosos.

Algunos atacantes buscan ganancias financieras (como se mencionó anteriormente). Otros podrían querer notoriedad que proviene de atacar a una empresa o marca conocida. A veces los atacantes lanzan su ancho de red y dañan compañías intencional y no intencionalmente.

En los ''viejos tiempos'', los ataques eran mucho más sencillos. Teníamos intrusiones básicas, marcad de guerra, y cosas por el estilo. Los virus eran bastante nuevos. Pero se trataba de notoriedad. Internet estaba en su infancia, y la gente buscaba hacerse nombres por sí mismos. A finales de los 90 y principios de los 2000, vimos un aumento en el número de virus y malware, y se trataba de la fama.

Más recientemente, muchos más ataques y amenazas giran en torno al robo real de información y daños con repercusiones financieras. Tal vez eso es un signo de la economía, o tal vez es solo una evolución de quien es alfabetizado por computador o incentivado a participar. Los agresores también pueden estar motivados por el espionaje gubernamental o industrial.

Métodos de Ataque

La mayoría de los atacantes no quieren ser descubiertos y por lo tanto utilizan una variedad de técnicas para permanecer en las sombras a intentar comprometer una red.

Reconocimiento: Este es el proceso de descubrimiento utilizado para encontrar información sobre la red. Esto incluye exploraciones de la red para descubrir a que direcciones ip responden, y más exploraciones para ver que puertos en los dispositivos estas ip están abiertas.

Ingeniería social: Esto es difícil porque aprovecha nuestra vulnerabilidad más débil (muy probable) en un sistema seguro (datos, aplicaciones, dispositivos, redes): el usuario. Si el atacante puede conseguir que el usuario revele información, es mucho más fácil para el atacante que usar algún método de reconocimiento. Esto puede hacerse a través de correo electrónico o na mala dirección de páginas web, en lo que resulta en el usuario haciendo clic en algo que lleva a que el atacante obtenga información. La ingeniería social se puede hacer en persona o por teléfono.

Phishingpresenta un enlace que parece un recurso de confianza valido para un usuario. Cuando el usuario hace clic en él, se le pide al usuario que revele información confidencial como nombres de usuario / contraseñas.

Pharming: se utiliza para dirigir la URL de un cliente desde un recurso valido a uno malicioso que podría hacerse aparecer como el sitio valido para el usuario. A partir de ahí, se intenta extraer información confidencial del usuario.

Escalamiento de privilegios: Este es el proceso de tomar algún nivel de acceso (autorizado o no) y lograr un nivel aun mayor de acceso. Un ejemplo es un atacante que gana el acceso de modo de usuario a un Router y luego usa un ataque de fuerza bruta contra el router, determinando cual es el enable secret para el acceso de privilegio nivel 15.

Puertas traseras: Cuando los atacantes acceden a un sistema, por lo general quieren unos accesos futuro, y quieren que sea fácil. Se puede instalar una aplicación backdoor para permitir los accesos futuros o para recopilar información para sus ataques posteriores.

Muchas backdoors son instaladas por los usuarios haciendo clic en algo sin darse cuenta del enlace que haga clic o el archivo que abren es una amenaza. Backdoors también se pueden implementar como resultado de un virus o un gusano (a menudo referido como malware).

Ejecución de código: Cuando los atacantes pueden acceder a un dispositivo, pueden realizar varias acciones. El tipo de acción depende del nivel de acceso que el atacante tiene o puede lograr y se basa en los permisos otorgados a la cuenta comprometida por el atacante. Una de las acciones más devastadora disponible para un atacante es la capacidad de ejecutar código dentro de un dispositivo. La ejecución de código podría resultar en un impacto adverso a loa confidencialidad (el atacante puede ver información sobre el dispositivo), la integridad (el atacante puede modificar la configuración del dispositivo) y la disponibilidad (el atacante puede crear una denegación de servicio a través de la modificación del código) de un dispositivo.

Vectores de ataque: Tenga en cuenta que los ataques no se lanzan solo desde personas fuera de su empresa. También se lanzan desde personas y dispositivos dentro de su empresa que tienen cuentas de usuario actuales o legitimas. Este vector es especialmente preocupante en estos días con la proliferación de organizaciones que permiten a los empleados traer su propio dispositivo (BYOD) y permitirle un acceso sin fisuras a datos, aplicaciones y dispositivos en las redes corporativas. Tal vez el usuario es curioso, o tal vez un backdoor se instala en el equipo en el que el usuario está conectado. En cualquier caso, es importante implementar una política de seguridad que no da nada por sentado y estar preparado para mitigar el riesgo en varios niveles.

Puede implementar una directiva de seguridad que no da nada por sentado al requerir la autenticación de los usuarios antes de que se permita su computadora en la red (para la que podría utilizar 802.1x y cisco access control server [ACS]). Esto significa que la estación de trabajo en la que el usuario esta debe pasar por un perfil antes de ser permitido en la red. Puedes utilizar el control de admisión de red (NAC) o un motor de servicios de identidad (ISE) para aplicar dicha directiva. Además, puede utilizar medidas de seguridad en el puerto del switch, como port security y otros.

Ataques man-in-the-middle: Un ataque de man-in-the-middle se produce cuando los atacantes se colocan en línea entre dos dispositivos que se están comunicando, con la intención de realizar un reconocimiento o manipular los datos a medida que se mueve entre ellos. Eso puede suceder en la capa 2 o capa 3. El propósito principal es escuchar a escondidas, por lo que el atacante puede ver todo el tráfico.

Si esto sucede en la capa 2, el atacante falsifica direcciones MAC de capa 2 para que los dispositivos de una LAN crean que la dirección de capa 2 del atacante es la dirección capa 2 de su puerta de enlace predeterminada. Esto se llama envenenamiento ARP. Los frames que se supone que van a la puerta de enlace predeterminada son reenviados por el switch a la dirección de capa 2 del atacante en la misma red. Como cortesía, el atacante puede reenviar los frames al destino correcto para que el cliente tenga la conectividad necesaria y el atacante ahora ve todos los datos entre los dos dispositivos. Para mitigar este riesgo, puede utilizar técnicas tales como la inspección de protocolo de resolución de direcciones (ARP) en los switches para evitar la suplantación de las direcciones de capa 2.

El atacante también podría implementar el ataque colocando un switch en la red y manipulando el protocolo de spanning tree (STP) para convertirse en el switch root (y así ganar la capacidad de ver cualquier tráfico que necesite ser enviado a través del switch root). Puede mitigar esto a través de técnicas como el root guard y otros controles de spanning-tree.

Un ataque de man-in-the-middle puede ocurrir en la capa 3 por un router deshonesto que se coloca en la red y luego engañar a los otros routers creyendo que el nuevo router tiene un mejor camino. Esto podría hacer que el tráfico de red fluya a través del enrutador pícaro y de nuevo permitir al atacante robar datos de red. Puede mitigar ataques como estos de varias maneras, incluyendo enrutamiento de protocolos de autenticación e información de filtrado de ser enunciado o aprendido interfaces específicas.

Para proteger los datos en movimiento, una de las mejores cosas que puede hacer es utilizar el cifrado para la confidencialidad de los datos en tránsito. Si utiliza protocolos de texto sin cifrar para la gestión, como Telnet o HTTP, un atacante que ha implementado un ataque man-in-the-middle puede ver el contenido de sus paquetes de datos de texto claro y, como resultado, vera todo lo que pasa a través del dispositivo atacante, incluidos los nombres de usuario y las contraseñas que se utilizan. El uso de protocolos de gestión con cifrado incorporado, como Secure Shell (SSH) y HTTPS (protocolo de transferencia de hipertexto seguro), se considera una práctica recomendada y también se considera una práctica recomendad el uso de protección VPN para datos sensibles a texto claro.