Internet es a día de hoy, una herramienta imprescindible para la mayoría de la gente, incluyendo empresas, universidades y el gobierno de los diferentes países.
La gente confía en internet para hacer sus actividades profesionales y personales.Detrás de todas las utilidades que tiene, tenemos a los usuarios malintencionados acechando; ellos tienen muchas formas de atacar las redes de ordenadores, dejando inutilizados los servidores donde nos conectamos o invadiendo nuestra privacidad. Los expertos en seguridad informática se encargan de parar estos ataques, y, en la medida de lo posible diseñar nuevas arquitecturas que sean inmunes a los ataques.
En los últimos años la seguridad en la red se ha convertido en una prioridad, porque cada vez hay más usuarios malintencionados que buscan cualquier vulnerabilidad para romper la seguridad, ya sea por superarse a sí mismo o por beneficios económicos.
– Software malicioso o malware en Internet.
Un tipo de ataque a la red es la introducción de malware en una página web. Cuando un usuario navega por una web, puede, sin querer, infectarse por un malware. Los tres tipos más conocidos de malware son los virus, gusanos y troyanos.
Una vez que el malware ha infectado nuestro equipo (ordenador, pda, móvil) puede hacer cualquier tipo de acciones. Las que más destacan es el borrado de datos, recopilación de información de carácter personal (e-mails, contraseñas, conversaciones). También pueden controlar todo lo que escribimos (Keyloggers) y enviarlo a su legítimo propietario (para uso de todos los datos recogidos).
Normalmente una característica común de todos ellos es que se auto-replican, para infectar a más usuarios, de esta forma se extenderá de forma exponencial.
Cuando hemos sido infectados por malware, y creemos que todo funciona bien, podemos estar participando en una botnet que los atacantes construyen para hacer un DDoS (Denegación de Servicio Distribuído), de esa forma, sin saberlo puede que estemos participando en un ataque contra un servidor para bloquearlo.
Una vez que el malware ha infectado nuestro equipo (ordenador, pda, móvil) puede hacer cualquier tipo de acciones. Las que más destacan es el borrado de datos, recopilación de información de carácter personal (e-mails, contraseñas, conversaciones). También pueden controlar todo lo que escribimos (Keyloggers) y enviarlo a su legítimo propietario (para uso de todos los datos recogidos).
Normalmente una característica común de todos ellos es que se auto-replican, para infectar a más usuarios, de esta forma se extenderá de forma exponencial.
Cuando hemos sido infectados por malware, y creemos que todo funciona bien, podemos estar participando en una botnet que los atacantes construyen para hacer un DDoS (Denegación de Servicio Distribuído), de esa forma, sin saberlo puede que estemos participando en un ataque contra un servidor para bloquearlo.
– Atacar servidores y la infraestructura de la red.
Ataques de denegación de servicio (DoS). Un ataque DoS colapsa totalmente un servidor y hace imposible (o muy lenta) la navegación a través de él. No sólo se pueden atacar servidores web, también servidores de correo electrónico, servidores DNS etc.
Un ataque DoS se puede “atenuar” mediante reglas específicas en el cortafuegos. Cuando desde una misma IP se realizan miles de peticiones, un servidor puede denegar el acceso a la IP atacante y de esa manera parar el ataque. El problema lo tenemos cuando el ataque es distribuído, porque el servidor no da abasto para bloquear todas las IP’s, y cada vez hay más y más y el servidor termina por saturarse.
Podemos clasificar los ataques de denegación de servicio en tres categorías:
– Inundación de conexiones: normalmente el protocolo que se usa es TCP, al ser conectivo, fiable y orientado a conexión. El propio protocolo TCP pide el reenvío de los paquetes perdidos y se encarga de la fragmentación y el re-ensamblado (no como UDP sobre IP). El atacante establece cientos de conexiones en el servidor hasta que que se colapsa y no puede aceptar las conexiones de usuarios legítimos.
– Inundación de ancho de banda: el usuario malintencionado envía muchos paquetes al servidor, impidiendo que los paquetes legítimos puedan llegar a él, no hay suficiente ancho de banda para más paquetes.
– Ataque de vulnerabilidad: si en el servidor hay alguna vulnerabilidad, el atacante se centra en explotarla mandando mensajes construidos específicamente para provocar el fallo de la máquina.
Para colapsar un servidor por inundación de ancho de banda, el ataque ha de ser distribuído (DDoS) ya que actualmente los servidores tienen un gran ancho de banda. Además, sería muy fácil detectarlo ya que sólo sería desde una IP (en DoS no distribuido). El ancho de banda del ataque se debe acercar al ancho de banda máximo de dicho servidor para colapsarlo.
Un ejemplo muy reciente de Ataque DDoS fue el realizado a la Sgae, aunque consiguieron que la página no fuera accesible, no fue gracias a ellos. Acens, el hosting donde se aloja, des-enrutó dicha web (la dirección IP) para que no afectara a ninguna de las otras webs que están alojadas allí (entre las que destacan el Grupo ADSLZone al completo, incluyendo RedesZone). El problema de los ataques distribuídos es que no sabes si el que realiza las peticiones es un atacante, o el legítimo usuario, por tanto es mucho más difícil de detectar y sobre todo, mucho más difícil defenderse de ellos.
– Analizar los paquetes que fluyen por la red (sniffers).
Hoy en día, la mayoría de los usuarios nos conectamos por WiFi a internet por la comodidad que ello supone, ya que podemos navegar tranquilamente desde el sofá de nuestra casa, o desde nuestro nuevo móvil de última generación.
Y la alegría que da ir al pueblo y encontrar una red WiFi sin contraseña, y aprovechar para leer el correo, dar un repaso a las redes sociales y hablar por mensajería instantánea con nuestros amigos.
Pues si haces todo esto, presta atención porque puede que tu seguridad y privacidad esté peligrosamente comprometida.
Un sniffer es un programa, también conocido como analizador de paquetes de red, o similar. Un ejemplo es WireShark, con el que puedes ver todo lo que fluye por la red de nuestro ordenador.
Si hacemos un ataque Man in The Middle, y arrancamos WireShark, podremos ver todo lo que está circulando por la red, incluyendo el tráfico de todos los que hay conectados a la red.
Cuando estamos conectados a una red WiFi doméstica con cifrado WEP (muy débil) o WPA/WPA2 (mucho más seguro), todos los paquetes fluyen por el aire, pero si usas clave, estarán cifrados. El problema de seguridad reside si un usuario malintencionado crackea la clave de cifrado inalámbrica y se conecta a la red podría sniffar todo el tráfico que hay en ella.
Por ello, os recomiendo encarecidamente, que dotéis de una buena protección a vuestras redes inalámbricas, ya que los routers con firmwares por defecto, proveen WPA2 con cifrado AES que es muy seguro, y sin embargo hay mucha gente que sigue usando WEP.
Si eres de los que se conecta a redes WiFi abiertas, o con cifrado WEP (previamente crackeadas por ti) supongo que ya sabrás qué pasaría si un usuario malintencionado se pone a sniffar todo el tráfico de la red en cuestión.
Una solución para que no haya “escuchas” no deseadas, pasaría por crear en un lugar de confianza un servidor VPN y conectarte a través de él redirigiendo el tráfico de internet, en esta misma web tienes el manual completo para que estés 99% seguro en cualquier red inalámbrica o cableada. No tienes por qué tener un ordenador permanentemente encendido, el Firmware Tomato RAF de Victek tiene la opción de crear dos servidores OpenVPN.
No sólo ocurre el sniffing en redes inalámbricas, en las redes LAN cableadas también ya que difunden los mismos paquetes pero por cable ethernet, y por tanto son vulnerables a ser analizados y modificados.
Los programas sniffer, al no inyectar paquetes en el canal de transmisión, son muy difíciles de detectar, por tanto debemos tener cuidado dónde y cómo nos conectamos a internet.
Si eres cuidadoso, tu privacidad te lo agradecerá.
– Suplantación de identidad
Un usuario malintencionado puede crear un paquete con una dirección de origen, un contenido y una dirección de destino aleatorio. A continuación transmite dicho paquete a internet, que reenviará el paquete a su destino. El router de la víctima podría ejecutar dicho paquete y sin saber estaría ejecutando un comando para modificar la tabla de reenvío. La suplantación IP es poder inyectar paquetes con una dirección de origen falsa. Es una de las muchas formas para hacerse pasar por otra persona. Debemos tener en cuenta que una IP identifica inequívocamente a un usuario a una hora determinada en la red de redes.
Para solucionar este problema debemos tener autenticación en el punto terminal.
– Modificación y borrado de datos enviados
Un atacante para conseguir modificar o borrar los datos, debe situarse en la ruta de comunicaciones entre dos usuarios. Esto se conoce como ataque de interposición, o lo llamado Man In The Middle. El atacante no sólo puede sniffar todo el tráfico (examinarlo, tal y como hemos hablado antes) sino que también puede inyectar, modificar o borrar los paquetes que fluyen por la red. Un ataque de interposición, viola uno de los estándares de la seguridad en internet: la integridad de los datos. Otros estándares de la seguridad de internet como la confidencialidad y autenticación no garantiza la integridad de los datos.
Recordemos los cuatro estándares de la seguridad en internet:
– Confidencialidad: requiere que la información sea accesible únicamente a las entidades autorizadas (confiables).
– Autenticación: el usuario es realmente quien dice ser.
– Integridad: requiere que la información sólo sea modificada o borrada por las entidades autorizadas.
– No repudio: ofrece protección frente a un usuario que niega que haya existido una comunicación anterior.
– Autenticación: el usuario es realmente quien dice ser.
– Integridad: requiere que la información sólo sea modificada o borrada por las entidades autorizadas.
– No repudio: ofrece protección frente a un usuario que niega que haya existido una comunicación anterior.
Estos cuatro puntos están muy presentes, por ejemplo, a la hora de crear un cliente-servidor OpenVPN SSL/TLS
¿Por qué internet es inseguro?
Esta pregunta, la gente se la hace a menudo. La respuesta es que internet se creó para la comunicación de usuarios que confiaban entre sí, y no que la usaran desconocidos. Desde entonces se han ido introduciendo diversos protocolos de seguridad para “parchear” lo que se hizo en un principio. La criptografía también ha estado y está muy presente en la seguridad de la red.
Si has llegado hasta aquí leyendo, es porque te interesa el tema de las redes y su seguridad. Próximamente tendréis más información sobre este tema, para eso esta web se llama “La zona de las Redes”.
Sergio Soriano - David Ruiz - Cristofer Salas
No hay comentarios:
Publicar un comentario