El lado oscuro de la innovación, la sofisticación y la organización
Atracos a bancos, manipulaciones electorales y ataques respaldados por países: así son las nuevas amenazas
En 2016, los delincuentes informáticos mostraron nuevos niveles de ambición. Fue un año marcado por ataques fuera de lo normal, como los desfalcos virtuales en los que se sustrajeron millones de dólares y los claros intentos de alterar el proceso electoral estadounidense por parte de grupos auspiciados por otros países.
Las innovaciones y los nuevos grados de sofisticación técnica implicaron un cambio drástico en el objetivo de los ataques. Las vulnerabilidades de día cero y el malware avanzado dejaron de ser las herramientas más usadas a medida que los Estados pasaban del espionaje al sabotaje más evidente.
Entretanto, los delincuentes informáticos sembraban el caos a niveles nunca antes vistos con herramientas y servicios en la nube relativamente sencillos.
Amenazas típicas y tipos de ataques básicos en Internet
Para toda la consideración siguiente usaremos la representación
de la infraestructura de red global según
el estándar internacional ISO 7498-1 (Open System Interconnection.
Basic Reference Model).
Aquí hay que hacer unas consideraciones adicionales:
Sea una red global que consiste de N objetos de
dos tipos (un host Xi
, i=1,…,m y un enrutator Gj
,
j=m+1,…,N) conectados entre sí por medio de las lí-
neas de la comunicación Ks
en el nivel físico y por medio
de líneas lógicas Kl
en el nivel de canal de OSI. Hay
que notar que en el nivel físico todo el conjunto de
objetos de la red se divide en un conjunto de subconjuntos
llamados segmentos. Dentro de un segmento todos
los hosts interactúan entre sí y con un enrutador
correspondiente por medio de las líneas físicas de comunicación
bidireccionales (esta consideración se hace
para simplificar el análisis de los modelos de ataques
típicos, porque en este caso la posibilidad de la comunicación
de un host con varios enrutadores dentro de
un segmento no influye en el resultado final).
Las amenazas típicas en las redes globales son:
· La interceptación e imposición de tráfico y
· Cambio e imposición del enrutamiento.
Estas amenazas se realizan en varios ataques básicos
y en cada uno de estos ataques básicos se realizan
amenazas potenciales casi siempre en varias combinaciones.
Por ejemplo, la interceptación del tráfico común
dentro de un segmento se usa para preparar el otro ataque
típico del tipo "objeto falso" y este ataque se usa
para interceptar el tráfico entre objetos deseados remotos
(o locales). A su vez, los ataques básicos se realizan
por medio del uso de las desventajas (de punto
de vista de seguridad de la información) de protocolos
de Internet.
En el caso común al empezar un proceso de comunicación
entre un par de las aplicaciones, en primer
lugar se establece un canal virtual (se lleva a cabo en
Internet por medio del protocolo TCP), después de
unos procedimientos de la autenticación, según de terminología
del estándar ISO 7498 se llamará "comunicación
en régimen con conexión".
Entonces para realizar cualquier tipo del ataque en
este caso hay que superar el sistema de autenticación
en el nivel de aplicación y además el sistema de la identificación de los paquetes TCP (en el protocolo TCP para
identificar los paquetes se usan dos números de 32 bits:
uno para el número de paquete y otro para el número
del canal virtual).
1. Ataques del tipo "interceptación y desviación del
tráfico".
;
2. Ataques del tipo "objeto falso".
Amenazas y ataques del tipo
interceptación y desviación del tráfico:
Todos los datos y comandos de control entre las
redes se envían por medio de paquetes. Esto, junto
con la estructura esparcida de las redes (en los sistemas
distribuidos), crea una amenaza a la seguridad
de información que se llama "sniffing" (análisis
del flujo de tráfico o desviación adicional de tráfico).
La amenaza (como un ataque potencial) de este
tipo pasivo, en el caso más sencillo, puede ser realizada
dentro de un segmento en el nivel físico y no
puede cambiar el tráfico. El modelo de este ataque,
al tener en cuenta las notaciones anteriores, puede
ser presentado como un grafo con los arcos que se
corresponden a las líneas de comunicación en el nivel
físico de OSI ("sniffing" se realiza sólo dentro de
un segmento)
Amenaza del tipo "rechazo de servicio:
"
Obviamente que cualquier sistema operativo posibilita
mantener sólo el número limitado de canales virtuales abiertos y un número limitado de las respuestas
de llamadas (restricciones por la longitud del búfer de
llamadas, por la longitud de la cola de las llamadas, restricciones
por el número de canales virtuales, por el
tiempo para refinar la cola, etc). Estas restricciones se
establecen para cada sistema operativo individualmente.
Entonces un flujo de llamadas con la frecuencia suficiente
puede resultar en un desbordamiento de la cola
de llamadas y por lo tanto, en la violación de los funcionamientos
del sistema; del rechazo del acceso remoto
para otros objetos del sistema y hasta la parada
completa de la computadora.
Este tipo de amenaza puede realizarse por dos maneras:
.Un flujo continuo de llamadas de direcciones diferentes
con la frecuencia suficiente baja de la capacidad
de canal.
.Un flujo continuo de llamadas de una dirección con
frecuencia cerca de la capacidad de canal;
El primer caso es más preferible y puede realizarse
en sistemas los cuales no mantienen procedimientos
de autenticación rigurosos (así es en la mayor parte
de los casos). Estos ataques típicos se llevan a cabo por medio la
imposición del tráfico y se usan frecuentemente como
una parte auxiliar en ataques del otro tipo. Desde el
punto de vista de la tecnología (pero no de la seguridad),
todos estos ataques típicos no tienen interés porque
se usan las mismas estrategias que en otros tipos,
pero casi siempre de manera simplificada.
Amenazas típicas del tipo Cambio e
imposición del enrutamiento
y ataques del tipo objeto falso:
Este tipo de amenaza consiste en la inserción de
un objeto adicional intermedio en la ruta de comunicación
entre dos objetos en la red para recibir control
completo sobre el flujo de información deseado. Como puede verse en esta clasificación, hay dos
clases de los ataques del tipo "objeto falso":
· Ataques dentro de un mismo segmento de red (ataques
locales),
·
Ataques entre segmentos diferentes (ataques
remotos).
Ataques dentro de un mismo segmento de red.
El protocolo IP es el protocolo básico para Internet. Pero en el nivel de canal del modelo OSI,
el paquete IP se coloca dentro de un paquete Ethernet
(así como un paquete TCP se coloca en el campo
de datos de un paquete IP). Por lo tanto, cada paquete
en las redes de cualesquier tipo con cualesquiera protocolos
finalmente se envían a la dirección de la tarjeta
de red la cual recibe y envía paquetes directamente.
Envía una llamada esparcida a la dirección Ethernet con la dirección IP del enrutador (la
dirección IP del enrutador se le asigna a cada host
durante el proceso de instalación del sistema operativo)
la cual recibirán todos los hosts dentro de
este segmento, incluyendo el enrutador.
En el enrutador está almacenada toda la información
en una tabla especial con las parejas de direcciones
IP y Ethernet para cada host dentro del
segmento dado. Después de que fue recibida tal llamada,
el enrutador aumenta su tabla de direcciones
ARP con un registro adicional con las direcciones IP
y Ethernet del nuevo host y después envía la respuesta
al nuevo host con su dirección Ethernet.
A su vez, si el host nuevo reciba una respuesta del
enrutador, escribe está información en su propia tabla
de direcciones ARP. Como resultado, después de un corto tiempo
cada sistema operativo dentro de un segmento dado
puede obtener toda la información sobre la concordancia
de las direcciones dentro de este segmento.
Un ataque típico del tipo "objeto falso" dentro
de un segmento -"ARP servidor falso" se realiza
por medio de la intercepción de la llamada esparcida
y de la transmisión de la respuesta falsa ARP.
Ataques remotos
del tipo "objeto falso:
"
Estos ataques comúnmente son más difíciles
desde el punto de vista técnico si se comparan
con los locales.
Desde el punto de vista del usuario cada host en
Internet tiene su nombre, pero la comunicación en redes
se realiza por medio de la dirección IP única de
32 bit para cada host en Internet. El sistema que actualmente
se usa en Internet para transformar los nombres
en las direcciones IP correspondientes se llama
DNS (Domain Name System) y él se mantiene por medio
del protocolo DNS (vea RFC-1101). El algoritmo del
protocolo DNS que se usa para una búsqueda remota
de una dirección IP a partir del nombre del host deseado
incluye los pasos siguientes:
· El host dado envía una llamada DNS dirigida a la
dirección IP del servidor DNS más cercano (su dirección
IP se ha escrito en sistema operativo de
red en el proceso de instalación). Está llamada
incluye el nombre del host, cuya dirección IP fue
solicitada.
· El servidor DAS recibe está llamada, busca en su
base de nombres este nombre y si la búsqueda se
termina con éxito, entonces envía la respuesta al
host dado. Si el nombre deseado no existe en su
base, entonces a su vez envía una llamada al servidor
DNS en el nivel inmediato superior en jerarquía
de los servidores DNS. Si fue recibida una
respuesta, el servidor DNS escribe estos datos en
su base y envía la respuesta al host dado.
Ataque del tipo
"DNS-servidor falso:
"
En tiempo reciente existen tres posibilidades para
realizar un ataque de este tipo:
Antes de considerar el algoritmo de un ataque a un
servicio DNS hay que prestar atención a varias sutilezas
del protocolo DNS.
En primer lugar, el protocolo DNS usa el protocolo
UDP que no incluye procedimientos para autentificación
de los objetos de comunicación
En segundo lugar, cualquier sistema operativo de red
exige que:
1. En la respuesta del servidor DNS la dirección IP del
remitente ha de coincidir con la dirección IP del servidor
DNS.
2. El nombre en la respuesta DNS ha de coincidir con
el nombre en la llamada DNS.
3. El número del puerto UDP ha de coincidir con el
número en la llamada DNS.
4. El valor de ID en la respuesta ha de coincidir con
el valor ID del remitente
Imposición de una
DNS- respuesta falsa
En este caso (X1
, Xf
y el servidor DNS se colocan
en segmentos diferentes) el objeto Xf
envía al objeto
X1
una serie continua de respuestas falsas, las cuales
han sido preparadas previamente a nombre del
servidor DNS (Xf
no sabe cuándo X1
enviará su llamada
DNS). Este método de actuación es posible
porque para llamadas DNS se usa el protocolo UDP,
que no incluye procedimientos para autentificación
de paquetes.
Interceptación de una
llamada de un servidor DNS:
Como se ha dicho anteriormente, si el servidor DNS
local no encuentra en su base el nombre deseado, entonces
envía su propia llamada DNS dirigida a uno de
los servidores DNS en el nivel inmediato superior de la
jerarquía. Obviamente que en este caso el esquema de
ataque anterior puede ser cambiado de tal manera que
la serie de respuestas DNS falsas se envían a través del
objeto Xf
al servidor DNS local del nombre (del la dirección
IP) de un servidor DNS inmediato superior (en
la jerarquía de los servidores DNS).
"Objeto falso" por medio de imposición
de ruta falsa por ICMP"
El enrutamiento en Internet se realiza en el nivel
de red (nivel IP) según la estructura de OSI. Dentro
de cada sistema operativo en red existen tablas
especiales incluyendo los datos sobre rutas diferentes.
Dentro de un segmento todos los mensajes dirigidos
hacia fuera del segmento se envían al
enrutador, el cual los reenvía más adelante según la
dirección IP de la ruta óptima.
Todos los enrutadores en la red global tienen tablas
específicas del enrutamiento, las cuales incluyen para
cada dirección IP una lista de nodos intermedios óptima.