TRABAJO SOBRE SEGURIDAD EN INTERNET
Sistemas de Información Empresarial
Índice Página • Hackers y Crackers .......................................... 3. • Password crackers (crakeadores de claves) ...... 5. • Sniffers (fisgones) ........................................... 12. • Caballos de Troya ........................................... 28. • Logging and Audit Tools ................................ 33. • Plataforms and Security .................................. 46. • Microsoft ....................................................... 60. • UNIX: El Gran Kahuna ...................................... 75. • Ataques Remotos ............................................ 110. • Niveles de Ataque ........................................... 116. • Ataques Spoofing ............................................ 127. • Ocultando Nuestra Identidad .......................... 135.
**********
HACKERS Y CRACKERS Son dos conceptos distintos: Hackers: suelen ser programadores con conocimientos avanzados de sistemas operativos y lenguajes de programación que descubren fallos de seguridad que no usan para hacer daño. Para eso escriben programas para chequear la integridad de otros programas. Cracker: agrede la integridad del sistema desde máquinas remotas. Raramente escriben sus propios programas, sino que usan aplicaciones ya hechas. ¿DÓNDE EMPEZÓ TODO? (Mediados−Finales 70`s en EEUU) Empezó con el phreaking (aprender cómo funciona el sistema telefónico para engañar a la compañía). Simulaban con una máquina el sonido del dinero al caer en la cabina y realizaban llamadas gratis. Después se 1
combinó el phreaking y la programación. Los phrekers buscaban líneas interesantes para machacar y a veces se encontraban módems a través de los cuales entraban en internet. 2 Noviembre 1988: los hackers consiguieron llamar la atención soltando el primer gusano por la red. Este es un programa que hace copias de si mismo e infecta otras máquinas. En cuestión de horas había un montón de máquinas infectadas. El gusano fue desarrollado desde el instituto de tecnología de Masachusets pero los loggin files no funcionaron por lo que el canalla no dejó huella. Finalmente lo pillaron investigando de forma tradicional (existe un retrato robot de él). Ese día fue el principio de la preocupación por la seguridad en internet y marcó la diferencia entre cracker y hacker. SITUACIÓN ACTUAL: UNA RED EN GUERRA La situación actual es totalmente distinta a la de hace diez años. Los 2 grupos tienen posiciones encontradas: los crackers luchan furiosamente para que se les reconozca atacando sitios, en un alarde de conocimientos técnicos, mientras que los hackers trabajan en el desarrollo de nuevos métodos de seguridad para parar a los crackers. ¿Qué está pasando? Los crackers lo tienen cada vez más difícil debido a la entrada de grandes empresas en la red que demandan e instalan herramientas de seguridad lo que hace que surjan empresas dedicadas a la seguridad.
PASSWORD CRACKERS (Crackeador de Claves) Un crakeador de claves es cualquier programa que revela las claves que han sido previamente encriptadas. Sin embargo, esto no quiere decir que el crakeador de claves lo desencripte porque los algoritmos usados para encriptar nos aseguran que no hay vuelta atrás en un periodo razonable de tiempo usando algoritmos de fuerza bruta y claves que no estén en el diccionario.
¿CÓMO FUNCIONAN LOS CRAKEADORES DE CLAVES? Antes hay que ver cómo se crean las claves encriptadas: Criptografía: Cripto del griego Kryptos, lo oculto, escondido, vetado, secreto o misterioso. Graph de graphía: escritura. Criptografía: arte de escritura secreta. Consiste en cómo la comunicación puede ser codificada para que sólo pueda ser leída por cierto tipo de gente. Formas de codificar e encriptar 2
1.− Asiganar a cada letra un número o otra letra. Muy fácil de descodificar. 2.− ROT−13 que consiste en a ña letra n le asigno la n+13. Muy inefectivo. Descodificadores y Codificadores (DES y Crypt) Al principio sólo estaba linux, ya que los crakeador de claves estaban hechos para él. En UNIX los ID de usuario y claves están en un fichero "pass". El ID está en formato texto mientras que la clave está encriptada usando Crypt 3 que es un programa basado en la encriptación de datos estándar (EDE o DES en inglés) creado por IBM y aprobado por la oficina nacional de estándares y la agencia nacional de seguridad. De hecho desde 1977 es el método generalmente aceptado para salvaguardar datos. El código fuente de Crypt 3(la implementación de DES para UNIX) es de dominio público, pero nadie ha encontrado una forma fácil de descodificar un mensaje codificado con él. ¿Cómo funciona Crypt? 1.− La clave es aceptada en texto plano. 2.− La clave es usada como llave para encryptar 64 ceros. El texto codificado es llamado cipher text. Algunas versiones de Crypt 3 van más lejos. Por ejemplo el resultado lo vuelven a codificar usando la clave como llave. DES coge los datos enviados y los codifica usando una operación de un sólo sentido a veces llamada hash que aunque es simple de codificar un usuario puede pasarse su vida entera intentando romper la clave por el método de fuerza bruta y no lograrlo. Pero aunque DES no admite marcha atrás, la clave codificada puede ser obtenida mediante un método de comparación: 1.− consigues un fichero con una lista de palabras comúnmente usadas. 2.− Las palabras las codificas o encriptas usando DES. 3.− Comparas cada palabra con la clave objetivo. Si coincide alguna hay un 98% de probabilidad de que la clave reviente. Los programas usados para crackear pueden usar reglas: − alterar mayúsculas/minúsculas. − deletrear hacia atrás, adelante y concatenar. − añadir el 1 al inicio de cada palabra.
EL VALOR DE LOS REVENTADORES DE CLAVES Los administradores de sistemas deberían ejecutar un crakeador de claves con cierta asiduidad para ver cómo de vulnerable es su sistema frente a un ataque. Hace falta: hardware, crakeador de claves y fichero de claves. Hardware Los reventadores de claves usan CPU y memoria de forma intensiva. Recomendado: 66Mhz, 32MB RAM y mínimo: 25Mhz, 8MB RAM. 3
Hay técnicas para saltarse las restricciones del hardware: reventamiento distribuido que consiste en ejecutar el reventador en varios procesadores a la vez. Se debe dividir el fichero de claves en trozos. Problema: llama mucho la atención. Algunos reventadores de claves Para Windows NT: L0phtcrack 2.0: usa 2 métodos: diccionario y fuerza bruta. ScanNT: ¡es comercial!. Características: clasifica por grupos, para aislar usuarios o grupos de usuarios. Revisa las claves automáticamente. Dice que claves han cambiado desde la última revisión de claves. ScanNT es parte de un paquete de admón. llamado herramientas de ayuda del administrador (Administrator Assistant Tool). NTCrack: su propósito es desarrollar ataques muy rápidos de fuerza bruta contra NT. Aplicaciones Imprescindibles: − samdump: descarga las claves del fichero SAM de NT. − pwdump: descarga las claves y los nombres de usuario. Necesita privilegios de administrador. NTFSDOS: monta sistemas NTFs y los ve como si fueran FAT32. Reventadores para UNIX Crack: diseñado para reventar claves encriptadas con 8 bits mediante técnicas de estimación. Crackerjack: se ejecuta en MSDOS aunque revienta claves de UNIX. PaceCrack95: creado para subsanar las deficiencias de Crackerjack. Qcrack: diseñado originalmente para linux aunque ha sido trasladado a MSDOS/Windows. Problema: para 1 fichero con 5000 palabras se necesitan 20 MB. Otros tipos de reventadores de claves ZipCrack: ataques por fuerza bruta a ficheros ".zip" con clave en Pascal. Decrypt: rompe claves de WordPerfect escrito en BASIC. Glide: usado para romper claves PWL, que son las que genera Windows para trabajo en grupo y sus versiones posteriores.
4
AMI: para arrebatar la clave CMOS de alguna máquina que use una BIOS American megatrends. NetCrack: fuerza bruta para Novell Netware. PGPCrack: PGP usa una encriptación de llave pública y puede aplicar una serie de técnicas de encriptación. Una de ellas es IDEA que es dificilísima de romper: 1000.000.000 máquinas a 1000.000.000 teclas/seg llevaría más tiempo que la edad del universo en encontrar la llave usando fuerza bruta.
SEGURIDAD EN UNIX UNIX es relativamente seguro pero debido a su naturaleza multiusuario, un usuario con una clave "fácil" es un riesgo para el sistema entero. Pero, ¿qué es una clave fácil?. Básicamente que esté en el diccionario o que sea un nombre propio. Una buena elección para los administradores es cuequear el sistema buscando claves débiles o fáciles usando herramientas reventadoras de claves.
CABALLOS DE TROYA
¿QUÉ ES UN CABALLO DE TROYA? Un caballo de troya es: · Código desautorizado contenido en un programa legal. Este código desautorizado realiza funciones desconocidas (probablemente desagradables) para el usuario. ·Cualquier programa que realiza una función necesaria y correcta pero que (por tener un código desautorizado) realiza funciones desconocidas (probablemente desagradables) para el usuario. Las funciones desautorizadas que el caballo de troya puede realizar están calificadas de estrategias perjudiciales. Los virus son un ejemplo de caballo de Troya. Algunas veces un virus no tiene porqué ser ocultado por un programa, en estos casos se puede denominar tanto como virus como caballo de Troya. El fichero que abriga un caballo de Troya/Virus tiene la efectividad de un caballo de Troya. La seguridad clásica en Internet para los documentos define los ámbitos de un caballo de Troya en varios caminos. Quizás es mejor conocer la definición en RFC1244,: Un caballo de Troya puede ser un programa que hace algo útil o sencillamente algo interesante, Siempre 5
hacen algo inesperado como robar password o copiar ficheros sin autorización. Dr. Alan Salomon, un especialista en virus de renombre internacional, en su trabajo titulado "All about Viruses" da otra definición más conveniente: Un caballo de Troya es un programa que hace algo más de lo esperado por el usuario, y cuyas funciones extraordinarias son peligrosas. Esto provoca un problema en detectar los caballos de Troya. Supongamos que yo escribo un programa que puede detectar infaliblemente cualquier otro programa que formatee el disco duro. Entonces, se puede decir que ese programa es un caballo de Troya? Obviamente no, si el otro programa es supuestamente para formatear el disco duro (como el Format, por ejemplo), entonces no es caballo de Troya. Pero si el usuario no esperaba el formateo, entonces es un caballo de Troya. El problema está en ver que programas realizan funciones esperadas por el usuario. De ahí que no se pueda determinar que es lo que el usuario espera del programa. Como propósito general, se puede clasificar un caballo de Troya, como cualquier programa que realice encubrimientos y funciones no deseables. Un caballo de Troya puede venir de cualquier forma. Como una palabra de un procesador o una utilidad de trabajo en red, como un código de desbloqueo de un software, etc.
¿DESDE DÓNDE PUEDE LLEGAR UN CABALLO DE TROYA? Los programadores crearon los caballos de Troya con una mala intención. En algún lugar del planeta algún programador está creando ahora un caballo de Troya. El programador sabe exactamente que hará y sus intenciones pueden o no ser altruistas, pero seguro que son maliciosas. Los creadores de caballos de Troya normalmente tienen una agenda, la cual no sería de importancia si no fuera porque en el contexto de la seguridad en Internet, puede ser usada para hacer un par de cosas: 1) Realizar alguna función que le revele al programador información vital y privilegiada sobre un sistema comprometiéndolo. 2) Ocultar alguna función que haga lo anterior. Algunos caballos de Troya hacen las dos. Actualmente, otras clases de caballo de Troya causan daños en las tarjetas (por ejemplo se puede encriptar el formateo del disco duro). Los caballos de Troya suelen estar bien diseñados para ser capaces de penetrar coleccionar información o sabotear un sistema. Ejemplos de caballo de Troya: −Caballo de Troya PC CYBORG: Es un caballo de troya diseñado para el sabotaje. Su funcionamiento es el siguiente: entran en el sistema y sustituye el AUTOEXEC:BAT y se puede llegar a contar hasta 90 infecciones en el sistema de inicio. Las nuevas versiones de PC CYBORG dañan la unidad C. −Caballo de Troya AOLGOLD: Es distribuido por Usenet a través de email. El programa se suponía que era un software para acceder a América Online (AOL). La distribución consistía en un archivo que, cuando los descomprimias, aparecían 2 ficheros. Uno de ellos era un standar INSTALL.BAT. Ejecutando el Install.bat se expandían 18 ficheros. De 6
estos 18 ficheros Video.drv (el fichero del virus.bat) al ejecutarse borra el contenido de directorios importantes de la unidad C. C:\ C:\QUEMM C:\DOS C:\STACKER C:\WINDOWS C:\NORTON C:\WINDOWS\SYSTEM Cuando las macros del virus han terminado se ejecuta un ordinario mensaje contenido en DommDay.exe Los programadores Amater desarrollan los caballos de Troya (probablemente chicos que quieren causar problemas) destructivos, los que realizan colección de información o los que realizan infiltraciones poco sofisticadas. A veces los caballos de Troya son desarrollados dentro de la legalidad. En esas situaciones se inserta un código extra dentro de una aplicación o utilidad (o en raras ocasiones, operaciones sobre el mismo sistema). Esas operaciones están lejos de ser peligrosas: −esos caballos de Troya no son destructivos, su existencia suele estar oculto hasta que son descubiertos por accidente. −los sitios web que verdaderamente están comprometidos son aquellos que proporcionan cientos o miles de accesos a internet para usuarios. Estos sitios web suelen ser gubernamentales o educativos y se diferencian de los que son mantenidos por pequeñas compañías. Con una pequeña compañía el peligro para ella y para sus usuarios generalmente queda bastante lejano. Esa es una cuestión seria, pero sólo es relevante para esas compañías. Al contrario, el compromiso de los sitios gubernamentales o educativos puede colocar miles de computadoras en riesgo. La mayoría de las veces, los programadores no pueden hacer nada con el desarrollo de utilidades comerciales UNIX que no tienen involucradas referencias de seguridad. Y por tanto incrementan las posibilidades de contener caballos de Troya, por ejemplo en la distribución de Satán 1.0 para linux se descubrió que contenía un caballo de Troya.
¿DÓNDE PODRÍA ENCONTRARSE UN CABALLO DE TROYA? Los caballos de Troya pueden aparecer en casi cualquier sitio, en alguna aplicación, o en algún sistema de operaciones. Por esa razón, se debe ser cauteloso en el software que se baja de Internet, particularmente el software descargado de servidores poco fiables o de Usenet. De cualquier forma, la mayoría de las veces no necesitas viajar a través de oscuros y prohibidos caminos para encontrar un caballo de Troya. Estos aparecen en los mayores distribuidores de Redes. Por ejemplo, en 1994 el caballo de Troya WUFTPD. El problema con este caballo de Troya fue tratado con una alerta del CIAC: CIAC recibió información sobre que algunas copias de wuarchive FTP daemon (ftpd) versiones 2.2 y 2.1f habían sido modificadas y que contenían un caballo de Troya en el código fuente. Este caballo de Troya permitía a cualquier usuario, remoto o local, llegar a estar en Modo Supervisor en sistemas ftpd. Se pedía a los usuarios de este software que desinstalasen las versiones anteriores a 2.3, ya que estas podían contener 7
caballos de Troya, e instalasen la versión 2.3, que había sido revisada. WUFTPD es el servidor ftp más usado del mundo. El caballo de Troya afectó a miles de sitios web tanto públicos como privados. Muchos de esos sitios están en riesgo porque sus administradores de sistema no están concienciados en el tema de seguridad tanto como deberían. Aquí hay descritos algunos ejemplos de caballos de Troya: · StuffIt 4.5 Tojan: Apareció al final de 1997. StuffIt es un programa popular de manejo de archivos, usado inicialmente en MACs. Durante la instalación del programa borra algunos ficheros clave del sistema. · AOL Password Trojan: Apareció a mediados de 1997. Algunos caballos de Troya desarrollados podrían revelar tu nombre de usuario y el password y ceder esta información a AOL. Los usuarios de AOL no están advertidos de que descargar alguno de los 106 diferentes que hay afectará a su sistema de archivos. · El AOL4FREE Trojan: Aparece en abril de 1997 se desarrollaron los llamados AOL4FREE.COM (no deben ser confundidos con los virus Aol4free). El caballo de Troya (el cual es una herramienta para proporcionar un acceso desautorizado a AOL sobre cualquier sistema) destruye las unidades de disco duro de la máquina afectada.
¿CÓMO SON DESCUBIERTOS LOS CABALLOS DE TROYA? Los caballos de Troya son descubiertos tan a menudo porque son una de las mayores preocupaciones de seguridad. Los caballos de Troya son bastante insidiosos, porque después de ser descubiertos pierden su efecto. Los caballos de Troya son como los snifers (fisgones) en ese sentido. Realmente no podemos calcular el alcance que tienen los caballos de Troya en el ataque a un sistema y esa es una cuestión muy seria. Una razón es que los caballos de Troya golpean el sistema de cualquier máquina. Sin importarle el lenguaje en el que esté descrito. El código de los caballos de Troyano está escrito en un lenguaje que pueda ser humanamente leído desde cualquier máquina con una herramienta de depuración. La compilación de un caballo de Troya se hace en ficheros binarios. Otra razón de la dificultad de descubrir los caballos de Troya es que ellos no anuncian su presencia. Simplemente realiza su cometido tranquilamente y eficientemente. Además muchos caballos de Troya están tan bien definidos que se mantienen ocultos en el sistema esperando ser ejecutados Por eso no se pueden detectar listando los procesos ejecutados en un momento dado. De cualquier manera antes de empezar a buscar caballos de Troya en tu sistema debes tener causas para creer que existe uno. También hay que saber donde empezar a mirar. Eso depende de la experiencia del usuario. Aquellos que conocen poco sus sistemas es poco probable que profundizando aventuradamente en su estructura de directorios, o buscando ficheros sospechosos encuentre un caballo de Troya. Incluso para programadores experimentados puede ser muy dificultoso identificar un caballo de Troya incluso cuando el código es accesible para su examinación. (Esto es especialmente verdad si el caballo de Troya está escrito en un lenguaje de programación poco conocido. Es imposible detectar para un programador de Basic un caballo de Troya escrito en Perl).
¿QUÉ NIVEL DE RIESGO REPRESENTAN LOS CABALLOS DE TROYA? Los caballos de Troya representan un alto nivel de riesgo, principalmente por las razones que ahora vamos a describir:
8
− Los caballos de Troya son difíciles de detectar. − En muchos casos, los caballos de Troya son encontrados en ficheros binarios, haciendo humanamente imposible leerlo desde un depurador. Los caballos de Troya pueden comprometer totalmente un sistema. Un caballo de Troya puede estar en un lugar durante semanas o incluso meses antes de ser descubierto. En ese momento, un craker con privilegios adquiridos de Modo Supervisor puede alterar la entereza del sistema si lo necesita.
¿CÓMO SE DETECTA UN CABALLO DE TROYA? Detectar un caballo de Troya es relativamente fácil si provees a tu sistema de los mejores servicios de seguridad, si no detectarlo puede ser una tarea realmente difícil. La mayor parte de los métodos de detección descansan sobre los principios llamados "object reconciliation", que trabajan de la siguiente forma: "objects" son los ficheros y directorios, "reconciliation" es el proceso de comparación de esos objetos antes y después de una fecha determinada. Este método es simple y consiste en testear la integridad de los ficheros para así detectar cambios en la información que contenían. Se examina el rango de integridad de los diferentes ficheros de forma primitiva pero sofisticada. Por ejemplo: tu puedes testear la integridad de cualquier fichero siguiendo alguno de estos casos: − la última fecha ha sido modificada − la fecha de creación del fichero − tamaño del fichero. Desafortunadamente, todos estos métodos son insuficientes. Ahora explicaremos porqué: Cada vez que un fichero es alterado sus variables cambian. De cualquier manera esa fecha puede ser manipulada fácilmente. Examinar las manipulaciones en los programas del PC, ¿es muy difícil? Cambiar la hora del sistema, editar ficheros y archivar ficheros son acciones que cambian la hora. Por esa razón es difícil comparar ficheros tomando en cuenta la fecha. Otra forma de chequear la integridad de un fichero es examinando su tamaño. De cualquier forma ese método es extremadamente irrealizable porque el tamaño es un valor fácilmente modificable. Es fácil comenzar un fichero con tamaño de 1,024KB y terminarlo con el mismo tamaño, incluso después de editarlo. Aun así, este proceso es más complejo cuando se alteran ficheros binarios. Aunque, estos ficheros casi siempre implican la inclusión de funciones especiales de librerías sin las cuales el programa no funcionaría. Por lo tanto manteniendo las funciones indispensables del programa , se puede encontrar la ubicación del código del caballo de Troya. El caso más fácil es aquel en el que el caballo de Troya modifica ficheros clave en el sistema (por ejemplo csh en UNIX o el command.com en DOS). Estos ficheros fueron instalados inicialmente en el PC y tienen una fecha y tamaño determinados. Por tanto es fácil comprobar si han sido modificados. Los programadores de caballo de Troya saben esto. Por lo tanto su trabajo es examinar el código fuente de esos ficheros y comprobar que hay en ellos que sea imprescindible, los crackes podrían borrar comentarios y texto que no fuese esencial en el fichero, introducir el código desautorizado y recompilar el fichero. El cracker 9
examina el tamaño del fichero, si es más o menos largo se pueden comenzar el proceso otra vez hasta que el tamaño coincida con el original. Esto hace pensar que no hay ninguna técnica suficiente. Pero existe una técnica bastante potente, que implica el uso de distintos algoritmos que calculan los "digital fingerprint". Esta técnica está basada en una de las implementaciones más populares de algoritmos de seguridad: el sistema llamado MD5. MD5 MD5 pertenece a una familia de funciones llamadas " message digest algorithms". El sistema MD5 está definido en RFC 1321. Cuando se ejecuta un fichero a través de MD5, sale un "fingerprint" con un valor de 32−caracteres. Parecido a esto: 2d50b2bffb5357fcch48g54g84g18784 Muchos sitios web que distribuyen software UNIX usan MD5 para generar fingerprint digitales para sus productos. Luego el navegador puede examinar el fingerprint original de cada fichero. Si descargas un fichero desde un servidor y encuentras un ficngerprint digital diferente hay un 99.9999% de que haya habido un cambio en el contenido del fichero. Algunos programas de seguridad extrema usan algoritmos MD4 y MD5. Uno de esos programas son S/Key de Bell Laboratories. S/Key genera un password y es usada por logins remotos. S/Key ofrece seguridad avanzada para sesiones remotas (del tipo de conexiones Telnet o Rlogin). Sin o con MD5buscar caballos de Troya es un proceso complejo. Es verdad que en una estación de trabajo con recursos limitados, técnicamente se pueden comparar a mano cada fichero y directorio. A pesar de ello en grandes estaciones de trabajo en red eso es simplemente imposible. Existen varios productos que han sido desarrollados para usar "object reconciliation". El producto más reclamado es una aplicación de nombre "TRIPWIRE" Tripwire Fue escrito en 1992, es una herramienta externa sobre la integridad de ficheros. Está bien definido, es fácilmente entendible y está implementado con una mínima dificultad. El sistema lee el entorno desde un fichero de configuración. Ese fichero contiene todas las variables de los ficheros. Este sistema puede ser bastante penetrante. Por ejemplo: puedes especificar que cambios pueden ser realizados en los ficheros y Tripwire mantendrá un fichero de los cambios. Este fichero original se guarda sin case de datos, simplemente en ASCII, y se accede cuando necesita ser calculado un posible cambio. Las funciones hash incluidas en la distribución son: − CRC 32: este método hash es llamado chequeo cíclico redundante. CRC general es usado para chequear la integridad de los ficheros empezando por la transmisión. Al comienzo de la transmisión el fichero está dividido en pequeñas partes las cuales tienen el tamaño predeterminado. Para cada parte se genera un valor criptográfico justo antes de ser enviado. Cuando cada parte llega a su destino el receptor recalcula el valor criptográfico. Si los dos valores coinciden no se ha producido ningún error, sino significa que los datos han sufrido una modificación. CRC32 es una mejora de CRC, está en 32 bit y a menudo se usa para chequear la integridad de ficheros. − SHA(The Nist Secure Hash Algorithm): Es muy fuerte y fue usado en sistemas de defensa. Por ejemplo el Departamento de Defensa exigía a todos los controladores de sistemas DoD que adquiriesen el Multilevel 10
Information System Security Initiative (MISSI) y que sólo usase productos "limpiados" con él. SHA es usado en uno de los productos de búsqueda de caballos de Troya llamado Fortezza card, es una tarjeta PCMCIA que proporciona una capa extra de seguridad en los envíos de email desde DoD. − Snefru: puede generar mensajes de 128 o 256−bit Snefru fue desarrollado por Xerox y es extremádamente potente. Lo ideal es usar la herramienta Tripwire inmediatamente después de una instalación limpia. Esto da un 100% de garantía sobre la integridad del sistema de ficheros desde el principio. Una vez que has generado toda la base de datos del sistema de ficheros, se pueden introducir otras herramientas. Otras ventajas de Tripwire son las siguientes: − Tripwire puede llevar a cabo un testeo sobre conexiones de trabajo en red. − Tripwire fue escrito en C y posee una gran portabilidad. Puede ser compilado en muchos sistemas sin sufrir alteraciones. − Tripwire viene con un lenguaje de procesamiento que permite automatizar los testeos del sistema. − Tripwire es una magnífica herramienta pero tiene algunos problemas de seguridad, por ejemplo: en relación a los valores que se generan en la base de datos. Un cracker puede alterarla, por eso se recomienda que se tomen medidas sobre la seguridad de la misma. Un sistema de protegerla muy conocido es: almacenar los datos en un sistema de read−only. Esto elimina cualquier posibilidad de alteración. De hecho, esta técnica está empezando fuerte en el tema de seguridad a pesar de su simplicidad. TAMU (Texas A&M University) Es una colección de herramientas diseñadas para mantener la seguridad en sistemas UNIX. Estas herramientas fueron creadas para responder a un problema real: Las computadoras Unix de Texas A&M University recibieron hace poco un ataque intensivo desde un grupo coordinado de crackers. Esto provocó una visión global del problema y su respuesta fue el desarrollo de policías, procedimientos y herramientas para proteger los ordenadores de la universidad. Las herramientas desarrolladas incluían "drawbridge", un avanzado filtro de puentes en internet los "tiger scripts", una herramienta extremadamente poderosa pero de fácil uso, los programas de seguridad individual para los host y los "xvefc" (Xview Etherfind Client) un poderoso entorno para trabajo en red. ATP (The anti−tampering program) ATP trabaja como Tripwire: asume que tienes una configuración perfecta y limpia y genera unos números de chequeo cobre el entorno, los cuales guardará para comprobar los cambios que pueden aparecer en los ficheros.
SNIFFERS (fisgones, husmeadores) 11
¿Qué son? dispositivos que capturan los paquetes de la red para analizar el tráfico e identificar áreas potenciales de interés. La mayoría analiza los protocolos: Ethernet, TCP/IP, IPX, DECNET. Son una combinación de hardware y software. Los fisgones como riesgo para la seguridad Para husmear los paquetes, ponen el interfaz de red en modo promiscuo. Para entender qué es esto, antes hay que cer cómo están diseñadas las redes locales. Redes locales y tráfico de datos: LAN´s son redes pequeñas conectadas vía Ethernet. La información va por cable. Tipos de cable: 10Base−2: cable coaxial fino 200 m 10 MB/s. 10Base−5: cable coaxial grueso 500 m 10Mb/s. 10Base−T: cable UTP 500 m 100Base−T: 100MB/s fibra óptica. Los datos viajan en pequeñas unidades (marcos o frames). Estos marcos llevan información tal como origen, destino, cabeceras, etc. Transporte de paquetes y entrega: Cada máquina tiene una dirección única que la distingue de las demás. Cuando mandas un paquete por la red, los paquetes llegan a todas las máquinas, pero sólo responderá aquella a la que vaya dirigido. Si el interfaz de red de la máquina está en modo promiscuo, esta capturará todos los paquetes de la red. Una máquina que funcione de esta forma es un fisgón. ¿Qué riesgo representan los fisgones? Los fisgones son un riesgo porque: − capturan claves. − capturan información confidencial. ¿Qué información capturan los fisgones? Suelen capturar 200−300 bytes de cada paquete ya que si capturasen todo se les llenaría el disco duro porque se transmiten miles de paquetes por minuto. En esta porción es donde suele estar la clave y el nombre de usuario. ¿Dónde colocarlo? Se suele colocar en puntos estratégicos como las máquinas o redes que reciben muchas claves. La evolución de la técnica permite que los mensajes se mande codificados, lo que añade dificultad al pirata. Hay dos tipos de fisgones: − comerciales.
12
− gratis. Defendiéndose de un ataque de un fisgón Hay dos formas: − detectándolo y eliminándolo. − protegiendo tus datos del fisgón. Detectándolo y eliminándolo Son muy difíciles de detectar porque son pasivos (residentes) y consumen muy pocos recursos. A esto se une la dificultad añadida de trabajar con redes heterogéneas. Un mapa de topología de red que compruebe los cambios en la red a diario podría detectar el que alguien desenchufe un PC y conecte otro para usarlo como un fisgón o que alguien pinche un PC en un cable. Sin embargo, es mejor prevenir que curar y sobre todo más barato por lo que será mejor defenderse. Hay dos formas de defenderse: − tener una topología segura. − mensajes encriptados. Topología Segura Cuanto más impermeabilizas la red, más difícil es para el fisgón, pero esto suele ser muy caro porque requiere hardware muy caro. Hay 3 interfaces que un fisgón no puede cruzar: − conmutadores − enrutadores − puentes Se pueden crear segmentos seguros (o impermeables) situando estratégicamente estos dispositivos. Una buena elección puede ser meter 20 máquinas entre alguno de estos dispositivos y chequear cada segmento 1 vez al mes. Esta técnica de segmentar sólo es práctica en redes pequeñas por razones de coste. Si la red es grande, mejor usar mensajes encriptados. Mensajes Encriptados Permiten que aunque haya robo de datos, no le sirvan de nada al fisgón al estar encriptados. Desventajas: − técnica. Puede que la encriptación no sea lo suficientemente fuerte o que no la soporte alguna máquina. − humana. La gente se resiste a usarla porque la ve como un engorro. Una buena solución es encontrar el término medio entre aplicaciones que soporten una encriptación en los 2 sentidos y que presenten una interfaz amigable.
13
LOGGING AND AUDIT TOOLS
HERRAMIENTAS LOGGING (REGISTRO). Este capítulo introduce herramientas que pueden ayudarnos a conseguir el máximo partido de su logging.
¿POR QUÉ USAR MÁS LOGGING ?. Si su sistema operativo ya soporta los logging, tu puedes tener la tentación de saltarse la instalación de las herramientas del logging. Para evitar la tentación, usted no debe confiar siempre en su logs (registros). De hecho, lo primero que aprenden los Crackers es como alterar el registro. La práctica ha llegado a ser tan común que ahora hay herramientas que automatizan el proceso. He aquí unas pocas: UTClean. Es una utilidad que elimina cualquier evidencia de su presencia en wtmp, wtmpx, utmp, y lastlog. Puedes chequearlo en: http://www.unitedcouncil.org/c/utclean.c Remove. Quita, limpiando la utmp, wtmp y lastlog, tachando cualquier evidencia de su presencia. Puedes chequearlo en: http://www.unitedcouncil.org/c/remove.c Marry. Es una herramienta de edición de entradas en utmp, wtmp, y lastlog. Puedes chequearlo en http://www.unitedcouncil.org/c/marry.c La mejor apuesta para cubrirse contra los crackers que alteran las entradas del registro, usted debería usar, al menos una tercera parte de las herramientas de los registros. Este enfoque tiene varias ventajas. La primera es, que mientras la comunidad de crackers tiene una buena familia de registros base del sistema operativo, pocos crackers tienen el conocimiento o los medios para circunvenir la tercera parte del software de registro. La segunda es que buena parte de este software es independiente del registro, sin que use los índices de registros del arranque del sistema operativo. Usted sabrá inmediatamente que los intrusos han penetrado en su sistema cuando compare la información de los registros third−party y los registros del sistema operativo y exista cierta discrepancia entre ambos. Esto es cierto si usted aísla sus registros third−party. Por ejemplo, supongamos que tu usas las herramientas de registro third−party, mas tarde verificas la integridad de los registros bases del sistema operativo. Por qué no escribe estos registros third−party en el medio? Eso es caro, pero te garantiza un conjunto de registros fiables, y la fiabilidad es todo. Usando los productos third−party es prudente en el caso que las utilidades de registro fallaran. Por ejemplo, en algunas versiones de Solaris, los ficheros tmpx son truncados a la entrada del hostname, presentando algunos datos de los obtenidos mas tarde incompletos y erróneos.
14
Desde un ángulo distinto, ahora es muy común que los crackers maten sus logging antes de realizar un ataque verdadero. Si el blanco es funcionando bajo Solaris 2.5.x, por ejemplo, tu puedes matar el syslogd simplemente enviando un mensaje externo desde una dirección IP inexistente. Similarmente, si syslogd acepta el mensaje remoto, alguien podría hacer una entrada falsa en el registro. Tu podrías considerar un sistema de logging alternativo para todos estos razonamientos. La próxima sección cubrirá brevemente buena parte de esto.
VERIFICACIÓN DE LA RED Y LOS DATOS. Las herramientas siguientes no solo aportan datos de los registros, obtendremos una serie de datos de diversas fuentes. SWATCH (El sistema buscador) Autor: Stephen E. Hansen and E. Todd Atkins Plataforma: UNIX (Necesita Perl) URL: ftp://coast.cs.purdue.edu/pub/tools/unix/swatch Los autores escribieron SWATCH para completar la capacidad de los logging en las plataformas con sistemas UNIX. Consiguientemente, tienen logging con capacidad que exceden a la ejecución del syslog. SWATCH provee de verificación, logging, e información en tiempo real. Porque SWATCH esta escrito en PERL, en ambos caso es portable y extensible. SWATCH tiene una serie de características únicas: BACKFINGER es una utilidad que recoge información del finger desde donde se produce el ataque. Soporta la paginación al instante. (por tanto puede recibir información al momento). Ejecución condicionada de comandos (Si la condición es encontrada en el fichero de registro, entonces la realiza). Posteriormente, SWATCH confía en archivos locales de configuración. Convenientemente, pueden existir múltiples ficheros de configuración en la misma máquina. Por lo tanto, mientras originalmente solo estaba destinado a administradores del sistema, cualquier usuario local con los privilegios adecuados puede usar SWATCH. WATCHER Kenneth Ingham Kenneth Inghan Consulting 1601 Rita Dr. NE Alburquerque, NM 87106−1127
15
Phone: 505−262−0602 Email: ingham@i−pi.com URL: http://www.i−pi.com Ingham desarrollo Watcher mientras estaba en la Universidad de Nuevo México Compunting Center. El explico que el Centro de Computing empezaba a expandirse con el tiempo. La conclusión fue que, el procesamiento de logging que ellos usaban , no era el mas adecuado. Ingman buscaba la forma de automatizar la exploración de registros. Watcher es el resultado de dicha labor. Watcher analiza varios registros y los procesa, buscando de forma radical cualquier actividad anormal. (El autor sincronizó suficientemente este proceso, para que Watcher pudiera interpretar ampliamente el rendimiento variable de comandos como ps si producir alarma.) Watcher funciona en sistema UNIX y necesita el compilador de C. WebSense Aunque WebSense es el mas conocido por su capacidad de selección, este producto también tiene una gran capacidad de logging. (Aunque recientemente se ha mejorado porque el producto ha sido diseñado para trabajar estrechamente con PIX de Cisco). NetPartners Internet Solutions, Inc.
[email protected] http://www.netpart.com Win−Log Ver. 1 Es una utilidad bastante simple para Windows NT. Sus registros, son usados por Windows NT frecuentemente desde hace tiempo. (Usted podrá usar esta utilidad para comprobar si alguien ha reiniciado su máquina, aun cuando ellos, de algún modo circunvengan el Event Logger.) INFINITY Software
[email protected] http://www.griffin.co.uk/users/jcross MLOG Es una LAN NetWare−based con una utilidad Event−Logging creada por ABIT & MG−SOFT. La utilidad de Logs (Registros) usa la red y los siguientes tipos de protocolos: Apple Talck open session DEC LAT start DECnet NSP connection initialize
16
IPX NCP create connection NBEUI session initialize TCP/IP synchronize NLOG funciona en todos los protocolos con dirver 1.09 o mayor. ABIT Corporation http://www.marx156.com/swebfile.send.37./MLOG_210.ZIP NOCOL/NetConsole v.4.0 Es un departamento de aplicaciones estándar que desempeñan una amplia variedad de controles de tares. Este departamento ofrece un interface Curses, que es una gran interface que permite ejecutarse en una amplia gama de terminales (No requiere X para trabajar). Es extensible, soportado por interfaces PERL, y opera sobre redes que funcionan en Apple Talck y Novell. ftp://ftp.navya.com/pub/vikas/nocol.tar.gz PingLogger PingLogger registra el paquete ICMP en los ficheros de salida. Al usar esta utilidad, podemos confiar en determinar cual es el Ping de quien nos inunda. Esta utilidad se escribió y probó originalmente sobre Linux (Requiere el compilador C y los ficheros de cabeceras de IP), pero puede trabajar sobre cualquier otro sistema Unís. Jeff Thompson http://www.ryanspc.com/tools/pinglogger.tar.gz
HERRAMIENTAS PARA ANALIZAR LOS FICHEROS DE REGISTRO. Las siguientes herramientas examinan los ficheros de registro, extraen la información de ellos, y hacen informes. NetWatch NetWatch puede importar los ficheros de registro desde los mas importantes servidores Web y varios Firewalls. Funciona bajo Windows NT y puede sacar informes en HTML y distribuirlos por los servidores elegidos. Scandinavian Security Center
[email protected] http://www.sscnet.com/netwatch.html NetTracker 17
Analiza los ficheros Firewalls y Proxy. El producto se puede extender a filtrar e informar, y puede exportar información a fichero con formato Excel y Accept. El producto por tanto puede analizar accesos a registros y formatear una información de salida apropiada para un diagrama. NetTraker funciona en Windows 95/Windows NT y existe una versión de prueba de 30 días en la Web. Sane Solutions, LLC
[email protected] http://www.sane.com/productos/NetTracker/ LogSurfer Es otra herramienta de análisis de registros. El programa examina el fichero de registro Plain−text y, basándose en lo que encuentra (Y las reglas que le damos), puede desempeñar varias acciones. Entre ellas puede incluir creación de alertas, ejecución de un programa externo, o tomar porciones paralelamente de los datos del registro y de los comandos o procesos externos. LogSarfer requiere el Compilador C. DFN−CERT: ftp://ftp.cert.dfn.de/pub/tools/audit/logsurfer/logsurfer−1.41.tar.gz VBStats Es una poderosa herramienta para analizar los registros para Windows. La utilidad exporta la información al formato de los ficheros de Microsoft Accept, por tanto podremos formatear y recortar los datos resultantes. De particular interés es que VBStats automatiza el proceso contrario a la búsqueda del DNS sobre la dirección IP del visitador. Esto es muy útil porque normalmente desearemos conocer la el nombre real del Host visitante. Por esta razón nada mas es un producto. Bob Denny: http://tech.west.ora.com/win−httpd/#vbstat Netlog Obtiene todos los registro TCP y UDP que circulan. Esta herramienta por tanto soporta logging de mensajes ICMP (aunque los desarrolladores informan que realizar esta actividad de registro, requiere un gran almacenamiento). Debemos tener el compilador C para usar este producto. ftp://coast.cs.purdue.edu/pub/tools/unix/TAMU/ Analog Analog es probablementa la única Cross−Plataform analizadora de ficheros de registro. Analog normalmente funciona en los siguientes sistemas operativos: Macintosh · VAX/VMS OS/2 · RISC/OS Windows 95/NT · BeOS UNIX · BS2000/0SD Analog no solo es una Cross−Plataform, también incorpora un soporte para una amplia variedad de idiomas, 18
incluyendo ingles, portugués, francés, alemán.... Analog también realiza la búsqueda del DNS contrario (Muy lento), construye lenguajes encriptados (similar a los lenguajes Shell), y un mínimo soporte para AppleScript. Posteriormente, Analog soportará más formatos de conocidos servidores Web, incluyendo Apache, NCSA, WebStar, IIS, W3 Extended, Netsacape, y Netpresenz. Stephen Turner http://www.statslab.cam.ac.uk/~sret1/analog/
UTILIDADES ESPECIALIDADES DE LOGGING Courtney Courtney esta escrito Perl y está diseñado para detectar y registrar los ataques SATAN al registro. La documentación que describe Courtney es: Courtney recibe la entrada desde el Tcpdump contando el numero de nuevos servicios que ha originado la maquina dentro de un cierto tiempo seguro. Si alguna máquina conecta a numerosos servicios dentro de ese tiempo, Courtney identifica que máquina es el host SATAN. Este sistema requiere incluir la librería libcap−0.0, tcpdump−3.0 y perl5. Marvin J. Christensen ftp://ciac.llnl.gov/pub/ciac/sectools/unix/courtney/courtney.tar.Z Gabriel Gabriel sirve para el mismo propósito que Courtney − Para registrar y advertir de ataques SATAN. Sin embargo, Gabriel esta diseñado de una manera muy diferente y confía en un servidor y una serie de clientes que constantemente distribuyen informes de las condiciones. Esta información de las condiciones indican diversos modelos de uso de los recursos del host remoto. Cuando aparece el host se lanzan un indeterminado número de recursos, al los cuales se le dará una prioridad mayor. Necesitaremos un Sistema UNÍS, el compilador C e incluir los ficheros en la red para ejecutar Gabriel. Los Altos Tecnologies, Inc.
[email protected] http://www.lat.com
19
PLATAFORMS AND SECURITY
The hole EL CONCEPTO DE HOLE (AGUJERO O FALLO DE SEGURIDAD) Un hole ES UN DEFECTO EN EL hardware, software, o políticas que permite a los atacantes conseguir accesos no autorizados a otros sistema. A lo largo de cualquier semana determinada, surgen entre 15 y 30 HOLES. Estos pueden afectar una amplia gama de herramientas de red, incluyendo: Routers Clientes y servidores software Sistemas operativos Firewalls Parte de su trabajo es administrar la red, conociendo cuando surge algún HOLE y que impacto tiene en nuestro sistema. Sobre los timeliness Para asegurar tus sitios Interner y la red, necesitamos una mayor información, de hecho, lo ideal sería poder asegurar la red contra los HOLES minutos u horas después de su aparición. (Puede estar seguro que los Crackers usarán esos HOLES en la mitad de ese tiempo). Para comprender la importancia de los Tímeles, debemos considerar que: En 1.995 se descubrió que la línea de login en IRIS 6.2 tenía un password por defecto. Esta información fue telegrafiada al grupo de noticias de los cracker en cuestión de horas. Por la media noche de esa misma tarde, los crackers pudieron descubrir las máquinas vulnerables que usaban motores de búsqueda de WebCrawler y AltaVisa. Durante esas horas que siguieron a la mañana, cientos de host estuvieron comprometidos. El manejo de una red con conexión a Internet es muy diferente a la administración de cualquier LAN cercana. En una red cerrada, se tiene el lujo de poder investigar a los usuarios. Así se tiene un número limitado de atacantes y además estos usuarios tendrán restringidos el acceso al número de horas del negocio. En contraste, cuando administramos una red con conexión a Internet, podemos ser atacados por ser atacados por alguien desde cualquier sitio y en cualquier momento. Además, en Internet, frecuentemente los atacante trabajan desde otra red. Por lo tanto, nos veremos las caras con un ejercito maléficos usuarios, los cuales tienen información al instante de nuevas técnicas de ataque.
20
Para combatir esta situación, necesitaremos que nos echen un cable del exterior. Como surgen los holes. Un Hole no aparecer repentinamente por si mismo; alguien tiene que descubrirlo. El descubrirlo forma parte de una de los siguientes tres grupos: Hackers Crackers Empresa de Seguridad. Aunque estos tres grupos tienen misiones distintas, ellos tienen algo en común: pasan casi todo el tiempo buscando Holes. Normalmente, esta gente son programadores o administradores de sistema los cuales testean la seguridad de varias aplicaciones y sistemas operativos. Cuando ellos encuentran un Hole, Transmiten la información a distintas personas, dependiendo de la función que realicen. Los Hackers y las empresas de Seguridad generalmente avisan a los miembros de seguridad. En cambio los Crackers, pueden no avisar. Normalmente, ellos distribuiran la información entre su gremio. Dependiendo de cómo se distribuya la información, se hará publica en distintos lugares. Por ejemplo, si un cracker distribuye la información, donde primero se advierte la publicación es en los servidores craqueados. Por el contrario, si un hacker distribuye la información, surge en seguridad y boletines de advertencias. Internet tiene centralizada la aparición de información de seguridad al instante. Parte del trabajo del administrador de la red es revisar la información, el problema es que mucha información de la red no esta relacionada con la configuración especifica de la red. Por lo tanto, necesitaremos desarrollar una estrategia para analizar y extraer esa información para poder interpretar el significado de esa información. Mirar el data monster Si nos suscribimos a una lista de seguridad, inmediatamente descubriremos que los miembros son simplemente usuarios de la red. Esta decisión es un gran problema, su buzón se llenará de 100 mensajes diarios, cuando únicamente 12 de ellos tienen información válida, el resto serán argumentos Spam. Podemos pensar que esto no sea un serio problema, pero si lo es. Si usamos una red heterogénea, necesitaremos suscribirnos a varias listas. De esta forma si el promedio de mensajes por lista es de 30 mensajes al día, podríamos acabar recibiendo una media de entre 150 y 300 mensajes diarios. Algunas sugerencias de ayuda: Compartimiento. Antes de unirnos a una lista de envío, debemos preparar nuestro sistema para realizar el compartimiento. Debemos establecer un apartado para el correo antiguo. Deberemos asignar una dirección de Email para cada envío de la lista que nos hemos unido. Por ejemplo, crearemos una cuenta NTSEC, SUNSEC y HPUXSEC para recibir el correo relacionado con NT Segurity, Sun segurity, y HP−UX segurity. Si no tenemos una conexión permanente a la red, también podremos establecer una dirección de correo electrónico. Muchas compañías ofrecen correo electrónico gratuito. Suscribirse a un grupo moderado. La mayoría de las listas de envío ofrecen una versión moderada de su lista. Estas versiones generalmente tienen un menor radio de Noisse−to−signal. En otras palabras, los mensajes y 21
correos se editan con anterioridad a la distribución, es decir, fuera . Por tanto la información recibida es más relevante y pertinente. Se necesita mucho tiempo para automatizar, por lo menos el análisis de advertencias y mensaje de lista de envío. Así por ejemplo, si mantenemos una red funcionando con tres o cuatro plataformas, la cantidad de correos de seguridad recibidos al día puede ser mayor al que tu puedas leer. Para esto sirve la automatización, por lo que se recomienda PERL. ¿Cuánta seguridad necesitamos? Realmente es necesaria toda la información de estas listas? Probablemente. La mayoría de los vendedores esperan estratégicamente los momentos más favorables para distribuir los parches. Por lo tanto, cada cierto tiempo se consigue un CD−ROM con parches, su sistema puede tener de una 30 a 100 parches. Interiormente, nuestro sistema no es seguro del todo. Si no se mantiene este desarrollo, al menos, semanalmente, actualizarlo a la fecha puede ser una tarea muy costosa. Podemos concluir que es nuestra responsabilidad el obtener la información de seguridad. Si consigue entrar un cracker en nuestra red, nosotros seremos los culpables. Así deberemos guardar información sobre los desarrollos recientes. General source. La siguientes fuentes tienen información al instante e información legal. The Computer Emergency Response Team (CERT) Fue establecida en 1.988, siguiendo los incidentes Morris Worm. Desde entonces, CERT ha emitido cientos de avisos de seguridad y ha respondido alrededor de 200.000 informes de Internet sobre Break−ins. CERT no solo emite avisos donde aparecer una nueva vulnerabilidad, también: − Tiene un servicio de llamada de 24 horas al día, para ofrecer información vital a aquellos que hayan sufrido un Break−in. − Usa los sitios Web para proveer valiosa información de seguridad, nueva y antigua (incluyendo información desde 1.980). − Publica un informe anual que puede dar gran conocimiento sobre estadísticas de seguridad. The US Departament of Energy Computer Incident Advisory Capability (CIAC). CIAC fue establecida en 1.989. CIAC mantiene una base de datos con material relacionado con la seguridad, aunque la mayor parte de la información de la casa CIAC es disponible en las publicaciones que realiza ésta. CIAC es una excelente fuente de información. Algunas de las fuentes de las que dispone son: − Una base de datos sobre virus. Esta base de datos contiene una especificación y descripción de miles de virus. Incluye un listado de los nombres de los virus, tipos, localización en el disco, impacto Frecuentemente, se encuentra información adicional, incluyendo información de identificación, Checksums, y métodos de detección y eliminación de estos. − Boletines de seguridad. Los boletines de seguridad de CIAC son muy parecidos a los avisos de CERT (Vistos anteriormente). Estos boletines describen particularmente la vulnerabilidad y posibles soluciones. CIAC tiene un motor de búsqueda bastante bueno, por tanto puedes rastrear boletines pasados o buscar 22
información interesante. − Documentos de Seguridad. CIAC tiene una interesante colección de documentos de seguridad. Algunos son originales (por ejemplo, como asegurar X Windows) y otros considerando la información que se tiene, (tal como un lista de enlaces sobre información de seguridad). La mayoría de éstos se encuentran modo texto y en formato PDF. The National Institute of Standards and Technology Computer Security Resource Clearinghouse (NIST CSRC). El sitio Web de NIST CSRC ofrece una considerable lista de publicaciones, herramientas, organizaciones y servicios de soporte. En particular, las siguientes fuentes pueden ser de una extremada ayuda: − NIST Information Technology Laboratory (ITL). Boletines de seguridad de computadores. Los boletines de ITL cubren una gran variedad de temas de actualidad de gran interés. Aunque raramente los documentos ITL se reparten con información específica sobre vulnerabilidad, valoran los últimos desarrollo de la tecnología sobre seguridad. − Borradores CSRC. Contiene importantes investigaciones sobre seguridad, conducido por NIST y en otros lugares. Estos documentos pueden ayudarnos para definir los planes y políticas de seguridad. En particular, CRSC contiene una multitud de documentos sobre políticas de seguridad. − La búsqueda CSRC. Nos ofrece un motor de búsqueda, con información de enlaces de una amplia variedad de agencias y fuentes. The US Department of Defense (DoD) Network Information Center Fue fundada por The Defense Information Systems Agency's Defense Networks Organization (DISA DNSO). Su propósito principal es diseminar información importante de seguridad en la red. (Principalmente las agencias del gobierno). La principal atracción del DoDNIC son los boletines de Defense Data Network. Los boletines DDN ofrecen avisos de seguridad al instante. Estos archivos se encuentran en http://nic.ddn.mil/SCC/bullentins.html. Este sitio web incluye un motor de búsqueda por lo que puedes buscar avisos particulares. The BUGTRAQ Archives Estos archivos contienen todos los mensajes enviados al correo de BUGTRAQ. La mayoría de estos mensajes describen HOLES de sistemas operativos UNÍS. El sitio es de particular interés porque las características de búsqueda de Glimpse, el cual permite buscar el archivo en diferentes caminos. La lista de BUGTRAQ son una excelente fuente porque no nos inundan con una cantidad de información irrelevante. La mayoría de los correos son cortos y con carácter informativo. BUGTRAQ es posible que sea la mejor fuente en Internet con información sobre la vulnerabilidad de los sistemas UNÍS. URL: http://www.geek−girl.com/bugtracq/search.html The Forum of Incident Response and Security Teams (FIRST) Es una coalición de algunas organizaciones, publicas y privadas, las cuales trabajan en la circulación de 23
información de seguridad en Internet. Algunos miembros son: · DoE Computer Inciden Advisory Capability (CIAC). · NASA Automated Systems Incident Response Capability. · Purdue University Computer Emergency Response Team. · Stanford University Response Security. · IBM Emergency Response Service. · Australian Computer Emergency Response Team. Para chequear FIRST lo podemos hacer en: http://first.org/team−info/ The Windows 95 Bug Archive Rich Graves mantiene el archivo Bug de Windows 95 en la Universidad de Stanford. Es la única fuente de información comprensiva sobre la seguridad en Windows 95. Este archivo se puede localizar en: URL: http://www−leland.standford.edu/~win95netbugs/archives/. Mr. Graves tiene una inmensa colección de fuentes sobre la red en Windows 95. Su lista Win95NetBugs se puede encontrar en: URL: http://www−leland.stanford.edu/~llurch/win95netbugs/search.html/. Vendor security mailing lists, patch depositories, and resources. Finalmente, identificaremos lugares de ventas, parches, y listas que contienen importante información de seguridad. Silicon Graphics Security Headquarters. Los servicios que nos ofrece son: · Avisos SGI de seguridad. Ofrece información al instante sobre vulnerabilidad en el Sistema Operativo IRIS. Los avisos están disponibles en: URL: http://www.sgi.com/Support/security/advisories.html · Parches de seguridad SGI. Es un buen lugar donde encontraremos soluciones para antiguas vulnerabilidades. Los parches SGI podemos localizarlos en: http://www.sgi.com/Support/security/patches.html · Herramienta de programas Q's. Esta es una colección de programas de seguridad que pueden ayudarnos para levantar nuestro sistema de seguridad SGI. (Incluye herramientas de escaneado, utilidades de logging) Para obtener estos programas: URL: http://www.sgi.com/Support/security/toolbox.html The Sun Security Bulletin Archive. Ofrece un boletin de seguridad a diario sobre algunos productos. Este boletín esta disponible en SunSolve en: 24
URL: http://sunsolve.sun.com/pub−cgi/secbul.pl The ISS NT Security Mailing List. La lista de seguridad de envío en NT es mantenida por Internet Security Systems (ISS). Aquí encontramos preguntas y respuesta sobre la seguridad de NT. Sobre este aspecto existen muchos artículos. Están presentados en una lista que puede ser vista en: URL: http://www.iss.net/lists/ntsecurity/ The National Institutes of Health. La página de Computer Security Information es un enlace a National Institutes of Health (NIH). Tiene enlaces directos a revistas, avisos, asociaciones, organizaciones, y otras paginas web con temas de seguridad interesantes. URL: http://alw.nih.gov/Security/security.html The Computer and Network Security Reference Index. Esta computadora y red de seguridad hace referencia otras páginas con fuente de seguridad. Contiene enlaces a advisories, newsgroup, mailing list, vendor, y archivos. http://www.telstra.com.au/info/security.html Eugene Spafford's Security Hotlist. Es un sitio web que se puede resumir en cinco palabra: Página definitiva de recursos de seguridad. Cientos de paginas están dedicadas a la seguridad, esta es la colección mas comprensible de enlaces disponibles. En contraste a esto alguno de los enlaces han desaparecido. URL: http://www.cs.purdue.edu/coast/hotlist/.
MICROSOFT
En los recientes años Microsoft se ha caracterizado por tener productos con una mala reputación en lo 25
referente a seguridad. Pero esto no es totalmente cierto. DOS Microsoft Disk Operating System es el sistema operativo para ordenador personal más popular del mundo. Es sencillo, requiere poca memoria, y tiene pocos comandos. De hecho DOS 6.22 tiene aproximadamente 1/16 del número de comandos ofrecidos por la versión primaria de UNIX. Aunque la popularidad de MSDOS ha disminuido en los últimos años, muchas familias todavía lo usan. IBM: Compatibles en General MSDOS se ejecuta sólo en hardware compatible con IBM. Las arquitecturas compatibles con IBM no están diseñadas para la seguridad. Eso hace que el sistema de MSDOS sea vulnerable a un ataque. Ese ataque comienza con el password de la BIOS. El Password de la BIOS Puede ser desactivado por cualquier acceso físico al sistema. Para desactivar la protección del password de la Bios: borra, corat o desconecta la batería del CMOS del panel principal, entonces el password se borra, un cracker puede sacra provecho de esto y acceder al sistema. Esto puede comprometer a una estación de trabajo en red. Aunque este sistema no es el único para obtener el paso de la Bios, también hay herramientas para obtener el password, por ejemplo: −BIOS password−capturing utility −Amiecod −Ami.com −Aw.com Una vez dentro, el cracker para poder sacarle provecho al acceso tiene que obtener los Ids y los passwords. Para hacer eso usan las utilidades de Key−capture. Key−Capture Utilities Las Key−Capture Utilities capturan las teclas después de haber sido pulsadas. Esas "keystrokes" son guardadas dentro de ficheros ocultos. El directorio donde los keystrkes están capturando datos puede estar también oculto. Enla siguienet tabla hay unos cuantas utilidades de Key−capture disponibles para MSDOS: Herramienta Keycopy PlayBack Phantom 2 Keytrap
Características Captura 200 teclas a la vez en distintos entornos WordPerfect, MultiMate, Norton Editor y cualquier entorno con una linea de comandos estándar. Graba y reejecuta el tecleo de la misma manera que fue pulsado. Es bueno para las simulaciones. Captura las teclas pulsadas en cualquier entorno. Poderoso capturador de teclas que puede ser ejecutado a cualquier hora específica del día. 26
Software de Control de Acceso para DOS Las siguientes secciones informan sobre paquetes que añaden control al acceso en Dos. − Secure 1.0: previenen de cualquier usuario desautorizado. URL: ftp://ftp.cs.cuhk.edu.hk/pub/simtel/win3/security/secure10.zip − Secure File System: SFS es una excelente aplicación de seguridad. SFS ofrece un alto nivel de encriptación para MSDOS. URL: ftp://ftp.telepac.pt/pub/garbo/pc/crypt/sfs110.zip − Sentry: es un producto shareware bastante completo, incluso para la seguridad de ficheros individuales. También ofrece password y algunos soportes para Windows. URL: ftp://ftp.digital.com/pub/micro/pc/simtelnet/msdos/security/sentryba.zip − Encrypt−it: ofrece un alto nivel de encriptación DES para DOS. Esa encriptación puede ser aplicada a un fichero simple o a series de ficheros. URL: http://www.maedae.com/ − LCK2: bloquea el terminal mientras el sistema está en ejecución. URL: ftp://ftp.lib.sonoma.edu/pub/simtelnet/msdos/security/sentryba.zip
Sitios WEB donde adquirir herramientas de seguridad para DOS − The simtel Dos security Index: URL: http://www.cpee.ufmg.br/simtel/simtel_index_security.html − The CIAC DOS security Tools Page contiene información sobre restricción de acceso e incluye un programa que protege cilindros específicos del disco: URL: http://ciac.llnl.gov/ciac/ToolsDOSSystem.html − DOS Security Tools at Cypher.net esta página ofrece material sobre protecciones de password, restricción de acceso y protección del sector de inicio: URL: http://www.cypher.net/tools/dossecure.html − The Repositoty at Oakland.edu 27
esta página contiene información sobre protección password, restricción de acceso, protección del sector de inicio, etc: URL: ftp://oak.oakland.edu/pub/simtelnet/msdos/security/
WINDOWS PARA TRABAJO EN GRUPO Y WINDOWS 95 Windows para trabajo en Grupo y Windows 95 tienen sólo un poco más de seguridad que Dos. Ambos confían en el sistema de ficheros PWL. Estos ficheros son creados cuando activas el password. Los ficheros PWL no son un sistema de seguridad fiable ya que simplemente los derrotas borrándolos. Crackeando los ficheros PWL Para ello se usa una herramienta en Windows 95. Esta herramienta es llamada Glide. Se examina el código fuente del fichero interesado. Usando Glide, se le introduce el nombre del fichero PWL y el nombre de usuario asociado a él. Glide es bastante efectivo y se puede encontrar online aqui: Software de Control de Acceso para Windows95 − Cetus Storm Windows: permite la protección casi de cualquier entorno Windows95 incluyendo lo siguiente: enlaces y carpetas drives y directorios recursos Network e impresoras URL: http://www.cetussoft.com/ − Clasp 97: ofrece una fuerte protección password, desactiva el acceso a Windows95 e intercepta ejecuciones de inicio con la secuencia: Ctrl+Alt+Del URL: http://www.cyberenet.net/ryan/ − ConfigSafe 95 by Tech Assit, Incorporated: protege registros y los ficheros .dll. URL: http://www.toolsthatwork.com/csafe95.htm − Desktop Surveillance 97: es una completa pero todavía innovadora investigación sobre el acceso al control en Windows95. URL: http://www.decros.cz/ − HD95Protect: tiene un nivel de control de acceso para el hardware y restringe el acceso actual al disco duro. URL: http://www.geocities.com/SiliconValley/Lakes/8753/ − Secure 4U: provee de un poderoso filtro de control de acceso URL: http://www.arcmain.com/index.html 28
− StopLock95 by PCSL: provee de un control del acceso a Windows95. URL: http://www.pcsl.com/
VULNERABILIDADES MODERNAS EN APLICACIONES MICROSOFT Microsoft Internet Explorer Hay serios problemas de vulnerabilidad en Microsoft Internet Explorer. Estas vulnerabilidades están cubiertas por su grado de peligrosidad: − La vulnerabilidad de la Identificación del Password: Impacto: Microsoft Internet Explorer revela tu username, password y dominio. Clase: critico. Info. Adicional: http://support.microsoft.com/support/kb/articles/q111/7/21.asp Discusión: el Microsoft Internet Explorer envía el password, username dominio y grupo de trabajo a un servidor remoto. − La vulnerabilidad del icono: Impacto: se puede ejecutar un código remoto en nuestro PC. Clase: extremadamente grave. Info. Adicional: http://www.njh.com/latest/9703/970306−01.html Discusión: cambiar un icono del escritorio el cual sea usado por nosotros corrientemente por otro que ejecute un código remoto. − La vulnerabilidad del HTML: Impacto: webmasters desautorizados pueden ejecutar un montón de ficheros en tu PC. Clase: Grave. Info. Adicional: http://main.succeed.net/kill9/hack/os/nt/ie4.html Discusión: El código Html puede ser escrito, cuando lo descargas puede resultar que tengas en el PC un montón de ficheros arbitrarios. − La vulnerabilidad de la maquina Virtual de Java: Impacto: puede redireccionar peticiones de conexión. Clase: grave.
29
Info. Adicional: http://neurosis.hungry.com/ben/msie_bug/ Discusión: la implementación Java de Microsoft Internet Explorer es defectuosa y permite a páginas remotas conectar con una tercera máquina. Microsoft FrontPage Microsoft FrontPage y sus extensiones tienen muchos problemas de seguridad: − Las vulnerabilidades del FrontPage VTI−BIN y VTI_PVT: Impacto: usuarios remotos pueden ver el password o otros ficheros importantes. Clase: de grave a crítico. Info. Adicional:
[email protected] Discusión: 1.Usuarios remotos pueden conectar vía ftp, hacer un directorio /VTI_BIN y colocar hay los ficheros de los comandos. 2. Usuarios remotos pueden coger el password y ficheros del administrador desde el directorio /VTI_PVT simplemente especificando su localización. − La vulnerabilidad de las extensiones del FrotntPage 97: Impacto: usuarios remotos pueden ganar en el nivel de acceso. Clase: de Moderado a grave. Info. Adicional: http://www.microsoft.com/frontpage/wpp/1330update.htm Discusión: usuarios remotos pueden usar shtml.dll para sobreescribir asp.dll, esto fuerza al servidor a revelar el código ASP. Microsoft Exchange Hay cuatro vulnerabilidades importantes en Microsoft Exchange version 5.0, aquí nombramos las 4 y explicamos las 2 más peligrosas: − La vulnerabilidad del conector Web de Microsoft Exchange: Impacto: los usuarios pueden acceder a cualquier buzón de email. Clase: de moderado a grave. Info. Adicional: http://www.dhp.com/fyodor/sploits/NT.ms.exchange.5.0.html Discusión: Por defecto, todos los buzones se hacen accesibles a cualquier usuario. − La vulnerabilidad de la Password en la Cache de Microsoft Exchange: Impacto: las passwords quedan en cache. Clase: de moderado a grave. 30
Info. Adicional: http://www.njh.com/latest/9708/970825−04.html Discusión: las passwords de Exchange quedan en cache durante N minutos. Sumario de DOS, Windows y Windows 95 Son todos unos excelentes sistemas, aunque no sean seguros. Si tu empresa usa esos sistemas operativos en todas sus máquinas estas podrían estar atrasadas frente a un ataque. Esto es especialmente así con Windows 95 por que ha sido poco revisado.
WINDOWS NT Microsoft puede ser conocido tradicionalmente por su pobreza en cuestiones de seguridad, pero esto cambia cuando hablamos de Windows NT. Antes de nada hay que hacerse esta pregunta: ¿tengo instalado Windows NT usando NTFS? Si la respuesta es no, el sistema qeu usas no es seguro. Las partes más importantes para examinar la seguridad de Windows NT son: − Servidor de Información de Internet (IIS): IIS es un servidor de Internet popular y es de los que más gustan aunque tiene algunos puntos vulnerables. CMD/BAT: permite a los crackers ejecutar comandos en nuestro servidor. Página Activa del Servidor IIS: puede ser usado para sobreescribir ficheros. IIS ASP URL: permite a conexiones remotas examinar el código ASP. WEBHITS.EXE: usuarios remotos lo usan para buscar puntos vulnerables. Seguridad Interna de Windows NT Lo visto anteriormente hacia referencia a la seguridad externa donde los ataques llegan desde networks exteriores, desafortunadamente los networks son siempre la fuente de los ataques. A veces los propios usuarios atacan el servidor. En general la seguridad de Windows NT es sólamente bastante buena en lo referente a seguridad interna. Algunos administradores de sistemas argumentan que ellos no necesitan NTFS. Piensan que entre la vigilancia, una cuidada administración y un control de quien accede a sus máquinas ellos pueden mantener más o menos la integridad del sistema. Están soñando. El fallo RDISK Un ejemplo perfecto es el fallo RDISK. RDISK es una utilidad de Windows NT que permite crear reparaciones de emergencia en el disco. Es uan buena herramienta para el administrador del sistema, aunque también lo es para personas con malas intenciones. ¿Por qué?: RDISK guarda toda la información del sistema en un directorio llamado C:\winNT\REPAIR (passwords y registros de información). Accediendo a ese directorio podemos obtener toda la información importante del sistema. Existen varias herramientas para mantener la seguridad del sistema Windows NT: − Administrator Assistant Tool Kit 2.0: contiene herramientas para el administrador de sistema. 31
URL: http://www.ntsecurity.com/ − FileAdmin: es una herramienta avanzada para manipular los permisos de los ficheros en grandes networks. URL: http://www.ntsecurity.com/ − Kane Security Analyst: detecta a tiempo real una intrusión en el sistema. Esta herramienta registra las violaciones de seguridad y además es muy configurable. URL: http://www.intrusion.com/ − NetXRay Analyzer: es un poderoso protocolo de análisis (snifer) y un registrador de network de windows NT. URL: http://cinco.com/ − Somarsoft DumpEvt: Somarsoft DumpEvt se deshace de la información Event Log para importarla dentro de una base de datos para su análisis. URL: http://somarsoft.com/
PLATAFORMS AND SECURITY
UNIX: the big kahuna. ADDRESSING PHYSICAL SECURITY. En nuestro marco de UNIX solo es seguro su localización. Por tanto, deberemos aislar el marco de UNIX de usuarios malos. Nuestra máquina puede encontrarse expuesta a pequeños contactos físicos de intrusos. Sin embargo, esto no es factible a no ser que nos encontremos en un territorio hostil. Algunos productos que podríamos considerar son: DOMMUS ITSS. No es un producto especificamente, es más bien un servicio de consulta. http://www.domus.com/itss/bio−adv−card.thml 32
IrisScan. Es un sistema biometric de autentificación que soporta hasta 256 estaciones de trabajo en una LAN. Los usuarios son autentificados por el iris de su ojo. http://iriscan.com PC Guardian. Es un producto incluido en disco y que controla el acceso para IBM compatibles. http://www.pcguardian.com/ Barracuda Security. Dispositivo de seguridad física para IBM compatibles. Este producto incluye sistemas de paginación automática que controla alteraciones de la temperatura. http://barracudasecurity.com/ PHAZER. Desarrolado por Computer Security Products, Inc. Es un dispositivo de fibra óptica que detecta alteraciones físicas. Es un buen dispositivo para la seguridad de Univesidades o otras grandes redes. URL: http://computersecurity.com/fiber/index.html
CONSOLE SECURITY La seguridad de la consola es otro punto importante. Hay dos áreas principales de interés: · Consola y modo password de un solo usuario. El password de consola es algo muy común en estaciones de trabajo UNIX. Dependiendo de nuestra arquitectura, un intruso puede usar esos password con diferentes objetivos. En arquitecturas X86, podíamos poner el password de la BIOS. Si no lohacías, intrusos locales podían causar ataques o destruir datos. Algunos sistemas BIOS ofrecían utilidades de formateo de disco o herramientas de análisis que podían destruir toda la información del disco. Además, Sistemas BIOS mas modernos ofrecían accesos a los puertos serie y de impresora o a otro hardware que podía ser usado para exportar e importar información. Mas tarde, si usábamos SCSI, nosotros podíamos prevenir ataques de intrusos, usando las utilidades SCSI. Algunas de esta utilidades se graban en el BOOT o cuando conectaba el adaptador SCSI. Buenos ejemplos son los productos de Adaptec. La estación de trabajo de UNIX tiene problemas similares. El password se coloca en la PROM nada mas realizar la instalación. Este password pueden conseguirlo los intrusos, dependiendo de la arquitectura. Algunos sistemas soportan el modo de password individual. Por ejemplo, DECstation. Cuando la estación de trabajo DEC se arranca la primera vez, el sistema operativo de la consola opera en modo de comandos privilegiado. Si no hacemos ningún cambio en este modo, la consola no ofrecerá ninguna restricción. De ésta forma, alguien que quiera acceder a la consola físicamente podrá hacerlos sin que ofrezca ninguna restricción. Estando así de la forma más vulnerable posible. · El Password Root. Finalmente, cuando estemos realizando la instalación, introduciremos el root password. Es verda que algunos distribuidores, como SunOS o Solaris, requieren el que tu lo hagas. Esta es la última opción que presenta antes de reiniciar en SunOS o al reiniciar en Solaris. Sin embargo, algunos distribuidores no fuerzan a elegir lo anterior.
INSTALLATION MEDIA.
33
Debemos asegurar la instalación. De otra manera alguien podria comprometer nuestro sistema. Un buen ejemplo es AT&T UNIX, particularmente SVR3 y V/386. Uusarios malos pueden comprometer la máquina con un disco de arranque y elegir la opcion "magic mode" a través de la cual ellos pueden obtener el shell. Similarmente, el CD−ROM de instalación ofrece acceso abierto a usuarios malos. Si nuestro SPARC es accesible y la instalación ha sido correcta, alguien podrá entran en la máquina, en la instalación y sobrescribir nuestro disco. (Este ataque no está limitado en SunOS o Solaris. Algunos sistemas Linux pueden comprometer ese camino, para asegurar los discos. Configuraciones por defecto. Lo siguiente es, la necesidad de una dirección especifica para el sistema operativo. La mayoría de sistemas UNIX tienen una o más cuentas o password por defecto . antes procedemos a la siguiente paso, necesitaremos cerrar esos HOLES. IRIX es un buen ejemplo. Algunas versiones tiene HOLES en la configuración por defecto. Las siguientes cuentas no requieren introducir el password de registro: · lp (line printer) · jill · guest · backdoor · 4Dgifts · tutor · demos · tour · jack Otros sistemas tienen este mismo problema pero en distinto grado. Por ejemplo, algunos tienen cuentas por defecto con passwords conocidos, los cuales son distintos a los emitidos.
PASSWORD SECURITY. Probablemente tendremos mas de un usuario que use nuestra máquina, (quizás hasta docenas de usuarios). Por ello, antes de conectar nuestra máquina a la red deberemos de seguir una cierta política de contraseñas. Algunos sistemas de password pueden ser abatidos. Estos es peligroso, porque el password es el principal plan de seguridad de los sistema UNIX. Cualquier acceso a la contraseña o password es fatal. Por esta razón, debemos instalar todas las utilidades de password, una fuerte encriptación (donde sea posible), y ocultamiento del password. Si no usamos el ocultamiento de la contraseña, usuarios locales podrán ver el contenido de /etc/passwd, que es el fichero que contiene los datos de los password. Aunque el password se encuentra en forma encriptada, es fácil de crackear.
INSTALLING PASSWORD SHADOWING. Si nuestra versión no está actualizada con el soporte para ocultamiento, se recomienda usar el paquete de 34
ocultamiento de John F. Haugh II. Que no solo contiene un ocultamiento básico, sino también permite un password de 16 caracteres (Tradicionalmente se permiten 8 caracteres). Otras funciones que contiene el paquete son: · Passwords antiguos. · Herramientas de restricción al puerto desde el cual root puede acceder a login. · Grabación de intentos de login fallidos. · Una función para examinar los password de usuarios y evaluar su fortaleza. · Forzar la petición del password, cuando se introduzca un password nulo. Podemos conseguir estas herramientas en: URL: http://www.assist.mil/ASSIST/policies/tools/security/unix/shadow.tar. Algunas herramientas sobre ocultamiento de contraseñas escritas específicamente para Linux son estas dos: − Shadow in Box. Escrita por Michael Quan, es una recopilación de utilidades para el manejo del ocultamiento de nuestra contraseña. El paquete contiene herramientas para FTP, POP, sudo, y xlock. Podremos localizarlo en: URL: http://sunsite.unc.edu/pub/Linux/system/admin/shadow−ina−box−1.2.tgz. − The Linux Shadow Password Suite. Implementado por Julianne F. Haugh, este paquete contiene algunos herramientas para el manejo de ocultamiento y desocultamiento de contraseñas. (También contiene soporte para SunOS). Este paquete se puede localizar en:
URL: http://sunsite.unc.edu/pub/Linux/system/admin/shadow−971215.tar.gz. Para aprender mas sobre este tema (y sobre contraseñan de UNIX, en general), podremos encontrar mayor información en las siguientes rutas. · The Linux Shadow Password HOWTO. URL: http://www.tscnet.com/sysop/mhjack/SHADOW−HOWTO/SHADOW−HOWTO.http · Folling the Cracker: A survey of, and Improvements to, Password Security. URL: http://www.um.es/~hmberto/art/password.ps · OPUS: Preventing Weak Password Choice. URL: http://www.alw.nih.gov/Security/FIRST/papers/passeord/pwtenyrs.ps
INSTALACIÓN DEL PROGRAMA DE CHEQUEO DE CONTRASEÑAS. 35
El propósito del programa de chequeo de contraseñas es eliminar las contraseñas débiles, antes de que consigan comprometer el fichero passwd. El proceso que sigue es el siguiente: Cuando un usuario introduce su password, es comparado con una lista de palabras siguiendo una serie de reglas. Si la contraseña falla, es porque no reúne una serie de requisitos mínimos y es forzado el usuario para elegir un nuevo password.
¿Es realmente necesario el chequeo de password?, pues sí, porque los usuarios somo muy perezosos y cuando se nos pregunta por la contraseña, normalmente escogemos una que sea fácil de recordar y como consecuencia es fácil de craquear. Ejemplos son los nombres de los niños, día de cumpleaños, nombres de departamentos, etc En el Sistema aunque se realiza un chequeo, estas contraseñas débiles tienen que llegar hasta el administrador, el cual comprueba, con herramientas de chequeo, la fortaleza de la contraseña, pero para entonces ya puede ser demasiado tarde. · Passwd+ Se usa para el chequeo de contraseñas. Realiza las siguientes funciones: − Capacidad del logging. − Especificación del número de caracteres significativos del password. Adicionalmente, passwd+ envía mensajes de error si se introduce una palabra de usuario o un password débil. Podremos usar esta función para que los usuarios no introduzcan password malos. Podremos conseguirlo en: ftp://ftp.assist.mil/pub/tools/passed_utils/passwd+.tar.Z. · Anlpassed Otra buena herramientas para el chequeo de contraseñas es ésta, de Argonne Narional Laboratory's. Está escrita parcialmente en PERL, y se usa un fichero diccionario para la elección de la contraseña, incluso se pueden crear reglas. Algunas de éstas reglas incluidas en el paquete estándar son: − Números con espacios y espacios con números. − Mayúsculas y minúsculas con espacios. − Todas mayúsculas o todas minúsculas. − Todos números. − Letra capital y números. − Todas las combinaciones de las anteriores. Podemos conseguirlo en: ftp://coast.cs.purdue.edu/pub/tools/unix/anlpasswd/anlpassed−2.3.tar.Z · Npasswd Está implementada por Clyde Hoover, y es mas que una simple herramienta de chequeo de contraseñas. Es 36
una solución fácil de manejar y que puede fortalecer mucho la seguridad de las contraseñas en nuestro sistema. Aunque desafortunadamente, si utilizamos Solaris 2.5, podemos perder algunas de las funciones.
VULNERABILIDADES EN PARTICULAR. Debido a que no todos los paquetes de parches son muy exhaustivos y existe una gran dificultad para encontrar los parches más antiguos, se ha creado una lista especial que cubra los ataques más serios sobre las distintas plataformas, porque continuando con la sección de la integridad de datos, en la lista encontraremos aplicaciones de chequeo del sistema contra los HOLES. · Critical Remote vulnerabilities: AIX. Versión o Aplicación: AIX 3.x Impacto: Bugfiler binarios se instalan en SUID root. Los usuarios locales podrán grabar los privilegios del root. Fix: Borrar el bit SUID del Bugfiler binario. Información adicional: http://njh.com/latest/9709/0970909−03.html Acreditado: Johannes Schwave. · Crontab. Versión o Aplicación: AIX 3.2 Impacto: Usuarios locales pueden grabar el root. Fix: http://service.software.ibm.com/rs6000/ Información adicional: http://www.sw.com.sg/download/cert_advisories/CA−92:10.AIX.crontab.vulnerability Acreditado: CERT. · Dpsexec. Versión o Aplicación: Dpsexec Impacto: Usuarios locales pueden grabar el root (dpsexec es un PostScript , programa interprete de comandos que permite caminar sobre el codigo PostScript de forma interactiva.). Fix: Desconocido. Información adicional: http://geek−girl.com/bugtraq/1994_3/0038.html Acreditado: Sam Hartman. · Dtterm.
37
Versión o Aplicación: AIX 3.2 dtterm Impacto: Desbordamiento del buffer en el shell del root. Usuarios locales pueden grabar el root. Fix: chmod −s /usr/dt/bin/dtterm Información adicional: http://mayor.dia.fi.upm.es/~alopez/bugs/bugtraq/0239.html Acreditado: Georgi Guninski. · FTP. Versión o Aplicación: AIX 3.2, 4.1, 4.2 FTP Impacto: Servidores remotos pueden ejecutar arbitrariamente comandos en forma cliente. Fix: IBM dice que elimina el bit de setuid desde un comando ftp. Información adicional: http://geek−girl.com/bugtraq/1997_3/0626.html Acreditado: Andrew Green. · Gethostbyname() Versión o Aplicación: AIX 3.2−4.2x & gethostbyname() Impacto: El desbordamiento del buffer puede llevar al ocultamiento del shell del root. Fix: APAR IX60927, IX61019, ó IX62144 Información adicional: http://ciac.llnl.gov/ciac/bulletins/h−13.shtml Acreditado: Giorgi Cuninski. · Login. Versión o Aplicación: AIX 3.2−4.2x Impacto: Usuarios remotos pueden tener acceso al root. Fix: APAR IX44254 Información adicional: http://www.xnet−consulting.com/security/ciac/bulletins/e−fy94/ciacfy94.txt Acreditado: Desconocido. Critical Remote Vulnerabilities: IRIX. · Handler. Versión o Aplicación: handler
38
Impacto: /cgi−bin/handler acepta de forma arbitraria, comandos para añadir argumentos. Algunos lo hacen de forma local o remota, pueden ejecutar comandos en nuestro sistema. Fix: ftp://sgigate.com Información adicional: http://www.geek−girl.com/bugtraq/1997_3/0148.html Acreditado: Wlfram Schneider. · webdist.cgi Versión o Aplicación: webdist.cgi Impacto: El paquete IRIS Midshare Out Box usa un script llamado webdist.cgi en la instalación de las rutinas de red. Un par de permisos erróneos y un fallo en el chequeo de argumentos son pasados por alto en el programa, por lo cual usuarios remos y locales pueden ejecutar de forma arbitraria código con httpd UID. Fix: ftp://sgigate.sgi.com Información adicional: http://www.tech.chem.ethz.ch/~bolinger/sgi−ethz/secadv/msg00003.html Acreditado: Grant Haufmann y Chris Sheldon. · Xdm Versión o Aplicación: X Display Manager 5.3 Impacto: Permite al servidor aceptar algunos clientes validos. Fix: Turn off xhost+. Información adicional: N/A Acreditado: Desconocido. · Line Printer Login. Versión o Aplicación: lp loginIRIX 6.2 Impacto: La línea de impresión (lp) devuelve que el password es nulo. Fix: Buscar el password lp en /etc/passwd. Información adicional: N/A Acreditado: Desconocido. Critical Remote Vulnerabilities: SunOS y Solaris. · Syslogd Versión o Aplicación: SunOS 4.1.x 39
Impacto: Hace vulnerable el desbordamiento del buffer y permite ataques remotos al root Fix: Contactar con Sun. Información adicional: http://www.dice.ucl.ac.be/crypto/oliver/cq/msgs/msg000089.html Acreditado: 8LGM. · Rlogin Versión o Aplicación: SunOS y Solaris. Impacto: Rlogin tiene un desbordamiento del buffer que permite ataques y accesos remotos al root. Fix: http://sunsolve.sun.com/sunsolve/pubpatches.html Información adicional: http://ciac.llnl.gov/ciac/bulletins/h−25a.shtml Acreditado: CERT. · Statd Versión o Aplicación: SunOS y Solaris. Impacto: Es vulnerable al eliminar el desbordamiento del buffer. Pueden producirse ataques a los privilegios del root, creando y eliminando ficheros. Fix: Patch−ID# 104167−02 de noviembre 1.997 Información adicional: http://rtfm.ml.org/archives/bugtraq/Nov_1997/msg00181.html Acreditado: Anonimo. Critical Remote Vulnerabilities: Linux. · Rcp Versión o Aplicación: Red Hat y Slackware Impacto: Usuarios desconocidos pueden hacer un HOLE en rcp que puede producir un ataque remoto al root. Fix: Cambiar el UID. Información adicional: http://www.geek−girl.com/bugtraq/1997_1/0113.html Acreditado: Miro Pikus. · ftp Versión o Aplicación: Slackware y AIX Impacto: Servidores FTP remotos pueden causar al FTP cliente local la ejecución arbitraria de comandos. 40
Fix: Para Linux, desconocido. Para AIX, ver el URL. Información adicional: http://www.unitedcouncil.org/sploits/ftp_mget.html Acreditado:
[email protected] · imapd Versión o Aplicación: Red Hat y Slackware Impacto: Usuarios remotos pueden cambiar el password del root local para escribir espacios y activar un HOLE en imapd. Fix: Contactar con Red Hat. Información adicional: http://njh.com/latest/9796/970624−07.html Acreditado: Tetsu Khan.
EL SIGUIENTE PASO: EXAMINAR LOS SERVICIOS. Suponemos que hemos asegurado nuestra estación de trabajo. Se ha activado la ocultación y aceptará solo password fuertes. Ahora, es tiempo de considerar como nuestra estación de trabajo puede interactuar con el resto del mundo. Los Servicios r. Rlogin y rsh se usan para los seguridad de los HOLES. Por ejemplo, algunas versiones de Linux albergan un crítico rlogin HOLE. El Hole permite a los usuarios locales y remotos el acceso. El problema no está confirmado por Linux. Algunas distribuciones de UNIX tienen el mismo error, incluyendo ciertas distribuciones de AIX. AIX no es la única distribución que ha tenido problemas con los servicios r. Así es recomendable que lo reemplacemos con un Secure Shell (SSH). SSH dispone de una fuerte autentificación y una encriptación a través de sesiones remotas. Es un excelente reemplazo para los rlogin y Telnet paralelamente. SSH vence a los ataques que se realizan sobre los DNS e IP. Algunos administradores sugieren que si no proveemos de servicios r al sistema, podemos eliminar los ficheros etc/hosts.equiv y .rhosts. El cliente de SSH soporta la autentificación por medio de .rhosts y etc/hosts.equiv, Así que si se está usando SSH, es recomendable que guarde estos archivos. Antes de la implantación de SSH en nuestro sistema, debemos estudiar el RFC relativo a este punto. Lo podremos hacer en: URL: http://www.cs.hut.fi/ssh/RFC Si queremos obtener SSH, lo podemos conseguir en: URL: http://escert.upc.es/others/ssh El Servicio Finger. 41
Este servicio puede proporcionar ciertos riesgos de seguridad y puede usarse para comprometer la privacidad de los usuarios. Por lo que no es recomendable que se provea del servicio Finger para el exterior. Sin embargo, si es necesario el servicio finger en nuestro sistema, es recomendable usar un paquete mejorado de dicho servicio, tal como sfingerd, implementado por Laurent Demailly. Uno de los aspectos principales de sfingerd es que da acceso para planificar archivos mediante el directorio chrooted. Podemos conseguirlo en: URL: http://hplyot.obspm.fr:/net/sfingerd−1.8.tar.gz Telnet No es un servicio muy peligroso. Sin embargo, algunas versiones de Telnet pueden dar acceso, a usuarios remotos, a información valiosa. Telnet tiene el mérito de tener pocos Holes. Uno de ellos fue descubierto por Sam Hartman de MIT's Kerberos Development Team. Este Hole fue mas bien oscuro, pero pudo proveer a un usuario remoto de acceso al root (raíz). El Hole descubierto por Hartman no era simplemente común para una versión del telnetd, sino para varias: − NetBSD − FreeBSD − SGI IRIX − DEC UNIX − Linux Si buscamos un Telnet para reeplazarlo, tenemos varias elecciones. Secure shell es muy buena, pero no es la única posibilidad. Otras dos opciones muy buenas son: · Telnet Authentification Via Kerberos. Algunas distribuciones del Telnet de Kerberos soportan encriptación y autentificación. Algunos de estos desarrollos se realizaron en Octubre de 1.995 cuando Hartman identificó el Hole. Puede obtenerse en: http://andrew2.andrew.cmu.edu/dist/telnet.html. · Telnet Proxy by Firewall. Tal como la aplicación tn −gw está disponible en TIS Firewall Toolkit. Estos tipos de aplicaciones pueden permitir o denegar el acceso a host remotos de forma explicita. FTP Existen muy pocas razonas para permitir FTP anónimos. Y aunque el FTP no suponga un gran riesgo para la seguridad, deberemos ser consciente de algunos puntos en concreto. Principalmente los FTP's interactúan con otros programas o servidores: Algunos protocolos son difíciles de filtrar sin riesgo (servicios RPC y UDP), de esta forma se provee una mayor apertura a la red interna. Los servicios suministrados sobre una misma máquina pueden obrar de forma recíproca, provocando una catástrofe. Por ejemplo, si permitimos FTP anónimos en alguna máquina con un servidor WWW puede permitirse que un intruso ponga un fichero en el área de FTP anónimo y cause su ejecución del servidor http. Los ataques de "salto" en FTP involucran al servidor FTP, para conseguir así el acceso, para la que está 42
conectado el cracker. El escenario típico es cuando nuestro máquina blanco está configurada de forma que niegue las conexiones desde una dirección IP segura dentro de la máscara. La máquina del cracker tiene una dirección IP dentro de la máscara, y por lo tanto, el directorio FTP que es el blanco buscado, es inaccesible para ellos. Para circunvenir esto, los cracker usan otras máquinas (intermedias) para acceder al blanco. Los crackers realizan esto por medio de un fichero escrito en el directorio FTP de la máquina intermedia, el cual contiene un comando para conectar el blanco y coger algunos ficheros de ella. Cuando la máquina intermedia conecta, lo hace desde su propia dirección y no la del cracker. El blanco acoge la conexión pedida y acepta el archivo.
Los ataques de "salto" en FTP no tiene una prioridad muy alta, porque son raros y no implican intentos de penetración. Los mejores ataques de "salto" son los originados en el extranjero. Los estados Unidos han creado restricciones a algunos productos que tienen un alto nivel de encriptación en su programa. Estos ataques se usan principalmente para circunvenir las restricciones de los sitios FTP de los Estados Unidos. Para más información adicional, podemos visitar: http://www−jcr.lmh.ox.ac.uk/rootshell/hacking/wuftpd_umask.txt
FTP EN GENERAL. Ciertas versiones de FTP son fáciles de estropear o desconfigurar. Si usamos una versión de wu_ftpd que sea anterior a Abril 1.993, necesitaremos actualizarla inmediatamente como se informa en CERT Advisory 93:06: El Centro de Coordinación de CERT ha recibido información concerniente a la vulnerabilidad en versiones del archivo ftpd disponibles antes del 8 de Abril de 1.993 Por tanto para la versiones más viejas de wu_ftpd. En 4 de Enero de 1.997 fue descubierto un error en la versión 2.4. Esto es algo crítico porque la versión 2.4 es la versión más usada. Así que si esta es la versión que estamos usando, deberemos buscar el parche inmediatamente. Este parche podremos encontrarlo en: http://www.landfield.com/wu−ftpd/mail−archive/1996/feb/0029.html La seguridad del FTP, en general, es el tema más estudiado en la tecnología FTP. Esta tecnología ha cambiado bastante desde su introducción. La especificación actual del FTP fue llevada adelante en RFC 959 , "Protocolo de Transferencia de Ficheros" hace casi una década. Desde entonces, se ha hecho mucho para mejora la seguridad de esta aplicación. El documento que necesitaremos es "FTP Security Extensions". Este documento define las extensiones para los FTP especificados en RFC 959. Estas extensiones tienen una fuerte autentificación, integridad, y confidencialidad en el control y canales de datos con la introducción de nuevos comandos opcionales, contestaciones, y transferencia de fichero codificados. Podemos encontrarlo en: http://info.internet.isi.edu/0/indrafts/files/draft−ietf−cat−ftpsec−09.txt Finalmente, podemos seguir unos pasos para asegurarnos que nuestro servidor FTP es seguro: · Examinamos nuestro servidor con SITE EXEC Bug. Algunas versiones más antiguas de FTP permiten a individuos remostos el obtener el Shell desde una inicialización de una sesión con Telnet en el puerto 21. Para chequear este Hole, iniciamos la sesión de Telnet en el puerto 21 y emitimos el comando SITE EXEC. Si 43
consigues el shell, entonces hay problemas. Tu puedes comprender este claro problema en las referencias de CERT advisory CA−95:16. http://bulsai.kaist.ac.kr/~ysyun/Mail−Archives/cert−advisory/95/0006.html · El directorio Home de nuestro servidor FTP puede que no sea posible escribir en él. La forma más fácil de cambiar los permisos correctamente es chmod 555. · No permitir al sistema conectar por medio de FTP sin el ID. Esto incluiría naturalmente la raíz, bin, uucp, ni a nadie. TFTPD Raramente se usa este protocolo y posee un importante riesgo en seguridad, aun cuando consideramos que la versión que usamos es segura. Deshabilitar TFTPD es muy fácil. Simplemente hay que editar inetd.conf, después de haber grabado el boot, si finalmente nos determinamos por usar TFTP, hay unos puntos que debemos considerar: · Usando el ocultamiento del password , hacemos que el contenido de /etc/passwd sea irrelevante para los crackers. Así pues deberemos de instalar el ocultamiento (shadowing) para usar TFTP. · Algunas distribuciones de TFTP puede funcionar en modo seguridad. Si existe este modo puede obtenerse en inetd.conf, especificando la opción −s. · Ejecuta los registros y los verifica a diario. Gopher. Es un protocolo que ya está anticuado, pero es rápido y eficiente. Si lo ejecutamos, nos sorprenderemos. Gopher entrega información a nuestro escritorio instantáneamente, aunque anuncios, lo cual está permitido en Internet. Gopher tradicionalmente no se ha caracterizado por una gran seguridad, pero algunos puntos son dignos de mención.. El servidor Gopher de la Universidad de Minesota es probablemente el más popular, disponible en www.boombox.micro.umn.edu. El Bug afecta al Gopher en todas las versiones adquiridas antes de Agosto de 1.993. De este Hole se informó en Defense Data Network Bulletin, el cual podemosver en http://nic.mil/ftp/scc/sec−9315.txt. También Gopher proporciona una sesión FTP, y por lo tanto, podremos desempeñar un ataque de "salto" usando Gopher como lanzadera. Debe tener presente un punto respecto a la seguridad del Firewall, por ejemplo, si nuestro servidor FTP está detrás del Firewall, pero el servidor Gopher no, el acceso al servidor FTP se bloqueará. Finalmente, en su estado por defecto, Gopher es muy pobre respecto a la capacidad de logging, comparándolo a otros servicios de red.
SISTEMA DE FICHERO EN LA RED.
44
NFS exporta ficheros de sistemas que pueden o no tener cierto riesgo, dependiendo de cómo se exporten. Los permisos son uno de los principales factores. Seguramente, tenemos razón en pensar que nuestros usuarios irán generando sus propios ficheros .rhosts, los ficheros exportados irán a /export/home lo cual es una mala idea porque estos directorios tienen permisos de lectura / escritura. Algunas herramientas pueden ayudarnos para automatizar el proceso de examinación de los Holes. Uno de estos es NFSbug, el cual es designado para escanear los Holes conocidos. Éste está disponible en ftp://ftp.cs.vu.nl/pub/leendert/nfsbug.shar. Otro problema es que si usamos "enhanced" o "secure" NFS es posible que todavía no sea segura. La llave DES es derivado de los password de usuario, los cuales presenta un obvio problema. Instalando el ocultamiento (shadowing) puede presentar un camino para los Cracker para alcancar nuestra lista de passwd. El procedimiento Time−stamped elimina la posibilidad de que un cracker verifique el cambio y más tarde vuelva. HTTP Tiene un amplio rango de puntos de seguridad, de los cuales veremos unos pocos. El primero, httpd no funciona en la raíz. Las caídas de los programas CGI permiten ataques remostos para ejecutar arbitrariamente código won el UID de le servidor http. Si este servidor está funcionando en la raíz, pondremos en un compromiso el sistema entero. Podemos considerar la posibilidad de ejecutar httpd con un proceso chrooted. Algunas consultas sugieren que esta forma proporciona una gran seguridad. La mayoria de nuestro usuarios dependen de si se le permite o no el acceso al servidor Web y sus servicios. Algunos ISP no permite el acceso. El negocio típico son 10MB de espacio FTP pero no CGI. De hecho, la mayoría de ISPs actualmente no permiten el acceso al shell. Si ofrecemos tales servicios, podremos tener nuestras propias políticas. Por ejemplo, in ISP que permite CGI solamente si el desarrollo del código puede leerse con claridad antes de lanzarlo. Este enfoque tiene ventajas y desventajas, como que podremos ver cada línea del código en el servidor. La pregunta que nos hacemos ahora es ¿Quién chequea realmente todo este código?. La solución es usar programas como CGIWRAP, el cual automatiza el proceso que desempeñan las siguientes funciones: − Chequea el CGI por los Holes. − Registro de todos los acceso al Script. CGIWRAP fue implementada por Nathan Neulinger en 1.995. Podemos encontrarla en: ftp://ftp.cc.umr.edu/pub/cgi/cgiwrap CGIWRAP ha sido verificada para funcionar en las siguientes plataformas. − A/UX − HPUX − Solaris 45
− Linux − OSF/1 Desafortunadamente, CGIWRAP no da solución para los problemas de seguridad de HTTP. Debemos tener ciertas precauciones: · Desactivar la opción EXEC, Esto previene a los usuarios que se ejecuten comandos desde el servidor. · Acabar la inclusión del Server−side (documento elemental basado en la declaración de
tal como hora, día, y última modificación). · Seleccionar la opción NONE de AllowOverride esto desactiva los usuarios locales desde su propia configuración con la opción Locally, dentro de su propio directorio. También, debemos anotar que NCSA advierte con respecto a la autentificación basada en los DNS: El control de acceso por medio del Hostname y la autentificación básica de usuarios facilitada por HTTPd son relativamente únicas, pero no bulletprof. La autentificación del usuario envía el password a través de la red en modo texto, haciendo muy fácil su lectura. La DNS basados en el control de acceso es el único tan seguro como el DNS, por tanto deberemos guardarla en la mente cuando la usemos. "NCSA Tutorial Pages: Making Your Setup More Secure": http://hoohoo.ncsa.uiuc.edu/docs/tutorials/security.html HTTP Seguridad en General. La seguridad de HTTP ha experimentado algunos cambios, particularmente en los últimos dos años. El motivo de los avances ha sido el desarrollo de los protocolos de seguridad. De estos, el candidato viable es Secure Socket Layer Protocol. Secure Socket Layer Protocol. SSL fue desarrollada por Netscape Communications. El sistema es método que emplea autentificación RSA y DES y encriptación, tan buena como el chequeo de integridad de MD5. Para aprender más sobre SSL podemos visitar la página de SSL: http://home.netscape.com/eng/ssl3/ssl−toc.html Sobre X. Los sistemas de seguridad de X Windows son ya otro punto que puede o no interesarnos. Si nuestro sistema es un servidor Web, entonces no necesitaremos tener X Windows en nuestro disco. En cambio, si vamos a usar X, existen unos puntos obvios que deberemos tratar. La principal vulnerabilidad de X es muy fácil de remendar. Cuando un servidor X tiene el control de acceso desactivado, alguien en Internet puede abrir adicionalmente X Windows y comenzar a ejecutar programas arbitrariamente. Como una dificultad adicional, podemos cerrar eso Hole cambiando la sesión con X Windows con xhost de la siguiente forma: xhost + to xhost −. Si tenemos un sistema UNIX moderno, podremos mirar X simplemente en otra ventana.
46
Si X no es simplemente un sistema de ventanas. Las conexiones se envían al servidor X. Este servidor puede crear clientes X validos, que pueden estar en la misma máquina o a miles de kilómetros. Por lo tanto X es como cualquier otro protocolo en UNIX. Trabaja en modo cliente o Servidor y proporciona acceso a través de Internet y multitud de sistemas y arquitecturas. Cuando se inicia una conexión válida, puede suceder cualquier cosa. Una vez se inicia la conexión , los atacantes pueden destruir la ventana, crear una nueva, capturar los golpes de teclas y el password, y realice cualquier actividad factible en el entorno de X. La autentificación en X está basado en algo llamado Magic Cookie, el cual es un valor de 128 bits, generado de forma semi−aleatoria. Este valor es distribuido a los clientes y grabado en el fichero .Xauthority. Este plan de autentificación es conocido como "Médium−strength" y puede ser teóricamente derrotada. Si tenemos activado el control de acceso, existe una pequeña posibilidad de que un extraño grabe nuestro fichero Xauthority. Sin embargo no deberíamos confiar en el control simple de acceso. Los esfuerzos realizados han sido para afianzar la seguridad de X, y no existe ninguna razón por la cual no nos aprovechemos de ella. Así pues, deberíamos tomar adicionalmente otras medidas de seguridad porque, el plan básico de seguridad de X se ha roto en el pasado. Además, algunos de los programas disponibles automatizan la tarea de crackear un servidor X o romper el servidor una vez se ha craqueado. Las autoridades sugieren que usemos el Xlib de Kerberzed o los protocolos de identificación definidos en RFC 1413. De nosotros dependerá la elección, para la configuración de nuestra red. Algunos puntos importantes a tener en cuenta son: · Siempre usaremos la versión más nueva de Magic Cookie Authentification. · Nos aseguraremos que xhost + no añada a nadie más al sistema, en el fichero .xsession. · Chmod /tmp to 1777 para prevenir el acceso al descriptor del socket que puede ser grabado en el directorio.
ATAQUES REMOTOS
¿QUÉ ES UN ATAQUE REMOTO?
47
Cualquier ataque contra una máquina remota. Primeros pasos El primer paso requiere poco o ningún contacto con el objetivo. El problema es obtener la información: − cómo es la red − posibles puntos débiles − quien usa la red − dónde se conectan Esta información es fácil y rápida de conseguir. Echando un vistazo a la red Una buena forma de empezar es haciéndole una consulta al host, esto nos dará un montón de información. A partir de esto, cogemos un objetivo e intentamos conseguir un nombre de usuario válido con el comando finger. Esto es fácil en redes públicas como por ejemplo las de las universidades, pero no es fácil en redes privadas. Después de usar varias técnicas para obtener el nombre de los servidores un cracker se irá a otros servicios de la red. Uno de ellos es el servicio WHOIS. Whois El servicio WHOIS está en internic.net, el centro de información de la red. Esta Base de Datos contiene la siguiente información: − nombres de los host para los dominios de EEUU no militares. − nombres de los propietarios de los dominios. − contacto técnico para cada dominio. Una consulta WHOIS se puede hacer de 2 formas: − desde línea de comandos en UNIX. − desde una página HTML. Puede ser muy útil el recoger información sobre el sitio del administrador del sistema o sobre sus consultas a listas de correo sobre seguridad ya que a veces especifican sus arquitectura, topología, o problemas que les surjan. Esto nos dará pistas sobre su política de seguridad. Si no hay rastro del administrador de sistema en la lista de correo, podemos probar a intentar adivinar su dirección concatenando sus nombre a todos los host de su red. "Finger" y Rusers" Si el objetivo está ejecutando finger y rusers, puedes darte cuenta de que el administrador de sistema está en otra red, y esta información se puede conseguir del informe que finger y rusers proporcionan. Sin embargo, conseguir esta información puede llevar días, y el administrador puede que ya haya entrado desde la red 48
externa. Una solución es escribir un script(macro) que coja la información regularmente. El sistema Operativo Próximo paso: identificar el Sistema Operativo del objetivo. Esto puede ser muy fácil porque muchos sistemas identifican sus SSOO cuando se produce un nuevo acceso (login). Si esta información no aparece inmediatamente prueba a usar las ordenes host, dig y nookup. Sin embargo, la información proporcionada no tiene porqué ser del todo cierta: podría estar anticuada o manipulada. Si esto falla: − abrir una conexión con un socket a un puerto conocido que preste servicios únicos. − usar motores de búsqueda. Para esto hay que saber los nombres de usuario del objetivo y habrá que buscar mensajes enviados desde aquí porque en las cabeceras pone al final el S.O.
IDENTIFICANDO DEBILIDADES EN EL SISTEMA Los escáneres son buenas herramientas para auditar la red, y pueden ofrecer un testeo rápido para debilidades bien conocidas. Sin embargo, no son apropiadas para atacar una red externa porque hacerlo es como entrar a robar por la ventana a plena luz del día. La proliferación de escáneres ha llevado al desarrollo de herramientas que detectan los rastros de los mismos. Por esto, su uso es poco aconsejable. Las formas más prudenciales de recabar información del objetivo son: − consultores de seguridad (security advisories) − lista de correo sobre seguridad − sitios sobre cracking − manuales de administración de sistemas − sitios parches. Sitios sobre Cracking Son sitios maravillosos que ofrecen un montón de programas, pero: − No suelen dar documentación y cuando lo hacen, esta puede ser incompleta, inconsistente o difícil de entender. Además suelen estar hechos con menos calidad que los programas comerciales. − Pueden suponer un riesgo para tu propio sistema al llevar troyanos o código sospechoso. − Son herramientas hechas deprisa, justo después de que se descubra un fallo de seguridad por lo que pueden no estar muy bien depuradas. Haciendo uso de esas herramientas deberás: − saber quién es el administrador, sus hábitos, cuentas alternativas, horario de tranajo, datos personales, etc. esto se puede lograr haciendo un seguimiento del administrador de sistema en los foros de seguridad entre otras técnicas.
49
− Conocer la topología de la red, hardware, software, arquitectura, servidores y sospechar las relaciones de confianza. − Conocer las posibles vulnerabilidades, el porque de las mismas, herramientas para testearlas y los peligros y riesgos de explorarlas. Próximo paso hacer una prueba. Haciendo Pruebas No hacen falta, pero son muy recomendables. Se debe conseguir una máquina igual a la que se vaya a atacar. 3ventajas: 1. Conoces como responde el objetivo a tus ataques ya que una máquina con la misma configuración que el objetivo debería responder igual. Si eso no pasa anda con cuidado porque el administrador ha metido ahí sus narices. Existen sistemas de detección de intrusos y de desinformación que hacen creer al intruso que está trabajando con otro Sistema Operativo distinto al del objetivo. 2. Los archivos log de la víctima demostrarán que has estado allí lo cual es importante conocer porque así puedes borrar las huellas de tu ataque. Para esto debes saber exactamente que ficheros se generan a partir de tu ataque. 3. Aprendes que ataques son efectivos. Si usas código ajeno no sabrás si funciona hasta que lo pruebes ya que el que haya funcionado con la configuración del autor no significa que funcione con la tuya.
NIVELES DE UN ATAQUE
¿CUÁNDO PUEDE OCURRIR UN ATAQUE? Un ataque puede ocurrir en cualquier momento en el que tu estación de trabajo en red esté conectada a internet. La mayoría de los ataques ocurren en las horas nocturnas de la posición del servidor. Se podría pensar que los crackers deberían trabajar durnate el día ya que el alto tráfico oculta sus actividades. Pero hay varias razones por las que los crackes no usan estas horas: − Factibilidad: la mayoría de los cracker son personas que tienen su trabajo durante el día y durante la noche es cuando pueden llevar a cabo sus actividades. Esto difiere del pasado, cuando los crackers eran chicos en 50
casa sin nada que hacer. − Velocidad: los crackers prefieren trabajar a las horas en las que menos tráfico hay para que sus paquetes se envíen lo más rápido posible. • Sigilo: supongamos por un momento que un cracker encuentra un fallo, y en ese momento hay 3 administradores de sistema controlando el acceso, ¿qué puede hacer? Muy poco. Es preferible esperar y entonces actuar. • ¿QUÉ SISTEMA OPERATIVO USAN LOS CRACKERS? El sistema operativo usado por los cracker varía. Macintosh es la plataforma menos preferible para un cracker, simplemente porque no hay suficientes herramientas para MacOs y las que hay tienen muchos problemas para ser portables. UNIX es la más preferible probablemente FreeBSD o Linux. Las razones para que Linux sea muy usado por los crackers es que en un precio aceptable consigues un PC a 100Mhz con 8MB de RAM al que pones como sistema operativo FreeBSD o Linux de forma gratuita y de repente te encuentras con que tienes una poderosa estación de trabajo. También deberíamos mencionar a los crackes profesionales (cobran por su trabajo) que pueden probablemente proporcionarse cualquier sistema ya que para esos individuos las licencias y los costes no son cuestiones de importancia. SUN Es relativamente fácil ver cracker usando la plataforma Solaris X86 o SCO. Esto es porque además de que son productos con licencia gratuita, son fáciles de obtener. Un cracker típico es un estudiante y estos poseen ventajas respecto a la compra de software, ya que hay acuerdos entre las empresas y las universidades que bajan el precio del software, precios a los que no pueden acceder las personas de la calle. UNIX La plataforma UNIX es muy popular porque generalmente necesita muy pocos recursos para tener un buen funcionamiento. Un PC con Windows 95 requiere muchos megas de RAM, en contraste con Linux o FreeBSD que pueden ser ejecutados en un 80386, además hay muchas herramientas escritas para Linux. MICROSOFT La plataforma Microsoft soporta muchas herramientas de seguridad legales que pueden ser usadas para atacar host remotos, De hecho muchas crackers están usando Windows NT que es mejor que Windows 95 en un amplio margen y tiene mejores herramientas para trabajo en red. Además Windows NT es una plataforma más seria en términos de seguridad. El acceso al control es mejor, así los cracker pueden ofrecer servicios remotos a sus compañeros. Windows NT comenzó como la mejor plataforma para servicios en Internet.
EL ORIGEN DEL ATAQUE. Hace años muchos ataques se iniciaban en las universidades porque era donde el acceso a internet era mejor. Esto influenciaba no sólo en el origen del ataque seno en la duración, ya que los protocolos TCP/IP no eran una buena opción para crackear. Hoy es totalmente diferente. Los crackers pueden atacar una estación de trabajo desde su propia casa, oficina o vehículo. A pesar de eso hay algunas constantes, por ejemplo: los crackers importantes generalmente no usan proveedores como America OnLine, Prodigy o Microsoft NetWork(aunque los que se dedican al robo de números de tarjetas de crédito tienen en AOL la mejor elección). Además esos proveedores no ofrecen UNIX, y ya hemos comentado que el entorno Unix es uno de 51
los más utilizados por los crackers. La imagen de un crackers típico es: esa persona que trabaja por la noche con UNIX o Windows NT, con herramientas muy avanzadas y usando un proveedor local. ¿Cómo es un típico cracker? Un cracker típico tiene tres características básicas: − puede codificar en C, C++ o Perl, − tiene un profundo conocimiento de TCP/IP, − usa internet más de 50 horas al mes, − tiene un conocimiento íntimo de al menos dos sistemas operativos, de los cuales sin duda uno de ellos es UNIX o VMS, − tiene o tuvo un trabajo relacionado con la informática, − colecciona viejo software y hardware. ¿Cómo es un típico objetivo? Los objetivos típicos de los crackers son muy variados pero coinciden principalmente en ser servidores pequeños o redes privadas. El porque está claro, es más fácil atacar pequeñas redes que tienen pocos elementos de seguridad, además las pequeñas compañías no suelen tener asignado un presupuesto especial para el anti−cracking. Las características de un objetivo son: − Los dueños son nuevos en internet. − El administrador de sistema está experimentado con LAN`s y no con TCP/IP.. − Su equipo o el software (o ambos) son viejos y quizá anticuados. También hay cracker que prefieren recorrer ciegamente muchos objetivos y ver donde hay fallos de seguridad no detectados por el sysad (administrador de sistema). Otra cuestión es la familiarización y especialización ya que los crackers cada vez atacan menos a múltiples plataformas. Uno de los objetivos más importantes son las universidades por varias razones: − El trabajo del sysad suele estar distribuido en varias estaciones de trabajo. − Aunque sea en un segmento pequeño las universidades tienen varios cientos de usuarios. Otro objetivo importante son las web gubernamentales. Suelen ser atacadas por elementos anarquistas. ¿Por qué quieren atacarnos? Hay varias razones por las que los crackers pueden querer atacar un sistema: − Rencor: por que el cracker está en desacuerdo con tus ideas. − Deporte: quizás se ha dado cuenta que había un fallo en la seguridad de tu sistema.
52
− Sacar provecho: alguien paga a un cracker para que ataque al propietario de los datos. − Estupidez: muchos crackers quieren impresionar a sus amigos. − Curiosidad: muchos crackers son por pura curiosidad. • Políticos: un pequeño (pero significante) porcentaje de crackers crackean por motivos políticos.
NIVELES DE ATAQUE A UN SISTEMA
Nivel 1 Los ataques clasificados en el nivel uno son básicamente irrelevantes. Se incluyen los ataques al sistema de correo electrónico y la negación de servicios− Lo mejor de esto es que se requieren 30 minutos para corregir el problema. Esto es así porque el ataque se realiza con el expreso propósito de fastidiar. Nivel 2 y 3 En estos niveles se engloban los ataques como cuando usuarios locales acceden a la lectura o escritura de ficheros (o directorios) a los que ellos no deberían tener acceso. Esto puede ser un problema dependiendo de la importancia de los ficheros. Ciertamente, cualquier caso en el que un usuario local tenga acceso al directorio /tmp es una situación crítica. Y esta es una cuestión primaria para un administrador de UNIX o de Windows NT. Hay dos cuestiones clave de seguridad del nivel 2 que si son vulneradas afectaran al nivel 3, 4 ó 5. Esos factores son: − Mala configuración − Fallos inherentes al software La primera cuestión ocurre cuando no se entiende bien el sistema y se colocan mal los permisos. Esto no es un crimen. Hay que reconocer que cada sysad de Windows NT o UNIX no es un genio, y tampoco el hecho de que se tenga un profundo conocimiento del sistema no significa que sea un sistema seguro. Además hay varias herramientas para chequear el sistema en busca de malas configuraciones. La segunda cuestión es más común de lo uno se piensa. De hecho, desde 1980 están apareciendo mensajes de advertencia sobre problemas en software que se creía eran muy serios en cuestiones de seguridad. Un intento de solucionar este problema es sacar al mercado versiones del software al que los mismos usuarios van descubriendo los fallos de seguridad, pero no es una solución muy buena ya que hay fallos que no aparecen hasta que el software es vendido en su versión completa. La única solución es subscribirse a una lista de correo donde te envíen información sobre los fallos y problemas que vayan surgiendo en tu sistema y pensar al respecto que la seguridad es un proceso de continuo aprendizaje. Nivel 4 En este nivel los casos ya son de usuarios remotos que acceden a ficheros internos. La intención de este acceso puede variar: puede ser buscando verificar la existencia de ciertos ficheros, o para leerlos. Los problemas en el nivel 4 también incluyen aquellas vulnerabilidades encontradas por usuarios remotos a través de las cuales ejecutan un numero de comando en el servidor. El mayor porcentaje de esos fallos llegan a través 53
de malas configuraciones en el servidor, malos CGI`s y problemas de overflow. Nivel 5 y 6 En estos niveles se engloban las cosas que nunca deberían ocurrir. Un problema en el nivel 5 o 6 es fatal. En estos niveles los usuarios remotos pueden leer, escribir y ejecutar ficheros. Afortunadamente si se tiene el nivel 2, 3 y 4 cerrados convenientemente es casi imposible que haya una crisis en el nivel 5 ó 6. Fuentes − UniX Incident Guide How to Detect an Intrusion URL: 2305_UNIX_Incident_Guide_How_to_Detect_an_Intrusion.pdf − Securing Internet Information Servers URL: 2308_Securing_Internet_Information_Servers.pdf
ATAQUES SPOOFING
¿QUÉ ES UN SPOOFING? Spoofing puede ser definido es una sentencia simple: es una técnica sofisticada de autentificar los paquetes de una máquina a otra desde una verdadera dirección fuente. Spoofing es un complicado proceso. Fundamentos de seguridad Hay dos fundamentos de seguridad: − Confianza − Identificación 54
Confianza: es lo que necesitan dos máquinas para conectarse. Identificación: es el proceso de identificación entre ellas. La confianza y la Identificación generalmente tienen una relación proporcionalmente inversa. De hecho cuando hay un alto nivel de confianza entre dos host, no se requiere la cadena de conexión para comenzar la comunicación. Métodos de Identificación En internet constantemente nos estamos identificando sobre todo en los siguientes servicios: − la conexión a internet − sitios FTP − servicios Telnet y cuentas de internet Hay varios métodos de identificación dependiendo de la confianza que haya en las relaciones de comunicación: RHOSTS: el sistema RHOSTS puede ser usado para establecer una relación de confianza entre máquinas. El fichero /etc/hosts.equiv y rhosts proveen los datos para una identificación remota para rlogin(1), rsh(1), rcp(1), por ejemplo una muestra del fichero .rhosts podría ser: node1.sams.hacker.net hickory node2.sams.hacker.net dickory node3.sams.hacker.net doc node4.sams.hacker.net mouse Este fichero especifica los nombres de las cuatro máquinas que son confiables. Esto hace que el acceso a la máquina local ofrezca sus servicios sin usar una password de identificación. Ahora se han establecido los siguientes puntos: − confianza e identificación que tiene una relación inversa − una identificación inicial esta basada en una dirección fuente en relaciones de confianza − la identificación mediante una dirección fuente IP es irrealizable porque las direcciones Ip pueden ser falsificadas • una relación de confianza de cualquier tipo puede tener un ataque spoofing esperándole.
MECANISMOS DE UN ATAQUE SPOOFING La identificación de una dirección fuente comprobando la dirección IP no es suficiente para establecer una 55
conexión, sino que se requiere de un completo dialogo entre máquinas. Es más fácil entender el proceso siguiendo estos pasos: − IP es responsable del transporte, pero no se responsabiliza de que el paquete llegue perfectamente a su destino. El primer paso para establecer una conexión es iniciarla de modo que tengamos la garantía de que los paquetes llegarán intactos al host destino. − Cuando uno de los paquetes llega TCP lo recoge, lo chequea y lo verifica. El ataque Stoofing está caracterizado por dos elementos: Primero, se pueden falsificar la dirección fuente y segundo se debe mantener un diálogo con la tarjeta de red. El segundo problema tiene porque: la secuencia de diálogo no es arbitraria. La tarjeta inicia el diálogo con una secuencia de números y el atacante debe contestar con la respuesta correcta. Esto puede sonar confuso, vamos a explicar con más claridad: − El cracker sabe que los host 207.171.0.111 y 199.171.190.9 están teniendo una comunicación correcta. − El cracker intenta penetrar en la 207.171.0.111 − Para hacerlo, debe suplantar a la 199.171.190.9 − Para suplantar a 199.171.190.9, hay que falsificar su dirección. El problema es que todas las respuestas desde 207.171.0.111 están actualmente corriendo hacia 199.171.190.9 (y no hacia la máquina del crackers). Por eso el cracker no puede ver el trafico del paquete. El está conduciendo ciego.
LOS INGREDIENTES DE UN ATAQUE SPOOFING CON ÉXITO Hay ciertos pasos que se deben dar: 1.− El cracker debe identificar su tarjeta. 2.− Debe anestesiar el hosts e intentar la suplantación. 3.− Debe falsificar la dirección del host que quiere suplantar. 4.− Debe conectar la tarjeta y enmascararse como el host que ha anestesiado. 5.− Debe conseguir la secuencia correcta de números para responderla por la tarjeta. Obtener la secuencia de números Los primeros 4 pasos son fáciles, la dificultad viene en el quinto paso, donde hay que conseguir la secuencia de números correcta, para ello hay que seguir unos pasos: 1.− Intentar conectar con la tarjeta respondiendo a la conexión. 2.− La tarjeta responde con una secuencia de números. 3.− El cracker registra esa secuencia de números y corta la conexión. 56
El cracker examina la secuencia registrada y es en ese análisis donde identificará el patrón de la conexión. Esa secuencia se irá incrementando uniformemente de acuerdo a un algoritmo designado especialmente para ello. Su trabajo es determinar que algoritmo o determinar cual es el número con el que se incrementa. Una vez el conoce esto, puede generar la secuencia correcta requerida para la identificación. Antes el ataque spoofing era sólo una teoría, pero ahora está demostrado que son una amenaza real a los sistemas. Hay de hecho algunas utilidades que están disponibles: − ipspoof autor: desconocido lenguaje: C plataforma: UNIX plataforma de la tarjeta: UNIX requerimientos: compilador de C, ficheros de cabecera de IP, UNIX URL: http://www.rootshell.com/archive_j457nxiqi3gq59dv/199707/ipspoof.c − rbone autor: desconocido lenguaje: C plataforma: Linux plataforma de la tarjeta: UNIX requerimientos: compilador de C, ficheros de cabecera de IP, linux URL: − synk4.c (Syn Flooder by Zakath) autor: Zakath con Ultima lenguaje: C plataforma: Linux plataforma de la tarjeta: UNIX requerimientos: compilador de C, ficheros cabecera de IP, Linux URL:
57
OCULTANDO NUESTRA IDENTIDAD
OCULTANDO NUESTRA IDENTIDAD Ya hemos visto anteriormente como usar las herramientas para proteger nuestros datos. También podemos usar para proteger nuestros datos los siguientes métodos: identificadores digitales, paquetes de filtros, encriptación fuerte, utilidades de virus, redes privadas virtuales, aparatos de red y una docena de otras herramientas. Cada una de ellas nos ofrecen algún tipo de garantía sobre seguridad en cualquier tipo de red e Internet. Ahora la pregunta que nos hacemos es ¿qué pasos podemos dar para asegurar nuestra privacidad mientras navegamos por la red?. A continuación intentaremos de ver con más detalle la explicación a esta pregunta.
GRADOS DE EXPOSICIÓN. A menos que tomemos ciertas medias para prevenir nuestra identificación, nuestra identidad puede estar expuesta a cualquiera, si nos encontramos navegando en Internet. Esta exposición se puede manifestar de diferentes formas y grados, dependiendo de diferentes factores, incluyendo: · Nuestra conexión de red. · Nuestro navegador o browser. · Nuestro tráfico público. · Que tipo de conexiones y aplicaciones mantenemos. Los puntos anteriores nos exponen a dos tipos de inteligencias distintas: − Inteligencia Humana. − La inteligencia de la red 58
La Inteligencia Humana. Normalmente los humanos tendremos la capacidad de espiar, a través de lo cual podrán descubrir nuestra identidad, seguir nuestros movimientos o incluso cogernos cometiendo algún tipo de delito. Por algo la inteligencia humana es sin duda la más antigua. La inteligencia humana la podemos dividir en dos tipos: · La colectiva. Será la que cuyo objetivo es la de reunir información sin establecer necesariamente contacto directo. · La penetrativa. Cuyo principal objetivo es establecer contacto directo, ganar nuestra confianza y obtener información de forma continua. Internet es una magnífica herramienta para la inteligencia colectiva. Por ejemplo, consideramos nuestro correo de la Usenet, los cuales están disponibles al público, personas conocidas y desconocidas. Otros podrán seguir la pista de nuestros mensajes y aprender bastante sobre la actividad que realizamos, haciendo esto. Simplemente usando motores de búsqueda podrán conducir la inteligencia colectiva a su antojo. Hace 25 años, todo esto era diferente. En los años 70 existía en América un gran desorden político, de lo cual se aprovecharon algunas organizaciones más radicales y partidarios de la violencia contra el gobierno. Las agencias de inteligencia de los Estados Unidos respondieron conduciendo operaciones colectivas y penetraciones a gran escala. Estas operaciones pueden llevarse a cabo por seres humanos. Por ejemplo, para identificar a los componentes de la Sociedad Democrática de Estudiantes, el FBI mandó agentes a pie (Empleados del FBI o informadores civiles). Estos agentes se mezclaron entre ellos para recoger información sobre huellas digitales, direcciones etc Internet permite a las agencias de inteligencia controlar los sentimientos públicos desde sus oficinas, además pueden hacerlo sin violar ninguna ley. Al igual que no se requiere ningún tipo de garantía antes de usar Internet a la hora de recopilar listas de gentes se encuentran involucrada en algún tipo de actividad ilegal. Así si tenemos algún tipo de ideología política radical, será mejor que nos la guardemos para nosotros (o bien tener una buena base en criptografía), porque los motores de búsqueda pueden ser usados para aislar todo el tráfico de la Usenet entre clases particulares de individuos (miembros de la milicia, por ejemplo). Podemos concluir con que la Usenet no es un foro para ejercer nuestro derecho a la libertad de expresión, en cambio, es un lugar donde estamos expuesto e indefensos ante el mundo. Aunque la Usenet es solo el comienzo, seis de cada diez Web que visitamos siguen nuestros movimientos.
LOS NAVEGADORES WEB Y LA INVASIÓN DE LA PRIVACIDAD Antes de que existieran los navegadores Web nosotros solo podíamos acceder a Internet por medio de un interface de línea de comandos, el cual era un hueso e intimidaba a mucha gente. El hallazgo de los navegadores han transformado Internet en un paraíso en el que cualquiera con un ratón puede navegar fácilmente por la Word Wide Web. La inclusión de los navegadores fue de gran importancia y de la noche a la mañana millones de usuarios se conectaron a la red. La agencias de marketing tomaron buena nota y lanzaron la siguiente pregunta al mundo ¿Cómo ganar un dólar usando Internet?. Las compañía dieron varias respuestas, entre las cuales se encuentra el comercio electrónico. (En el cual los consumidores compran productos y servicios a través de la Web desde su casa). 59
Existe un fuerte impulso para desarrollar métodos para espiar a los usuarios, no solo las compras, sino también el consumo que tienen. La mayoría de los métodos surgieron en 1.993, y hoy día debe haber ya más de una docena. A continuación veremos como nuestra identidad puede ser descubierta bit a bit por cualquier persona.
ARQUITECTURA Y PRIVACIDAD DE INTERNET Algo que no debemos olvidar es que la arquitectura de Internet no está diseñada para mantener la privacidad de la información personal, de hecho, hay varias utilidades en Internet diseñadas específicamente para seguir e identificar a los usuarios. A continuación veremos como se almacena la información de los usuarios en los distintos servidores. Como se almacena la información de los usuarios en el servidor. Hay dos formas universales de identificarse en Internet: Nuestra dirección de e−mail y nuestra dirección IP. Ambas revelan nuestra identidad, por lo cual ya existe algo por donde los espías pueden empezar. En particular, nuestra dirección de e−mail, puede revelar nuestro nombre real, porque si nuestro proveedor del servicio de Internet usa Windows NT para albergar algunas páginas Web, casi todos los ISP's usan UNIX como plataforma base. Esto es porque UNIX (en unión a un protocolo llamado RADIUS) hacen que el manejo de la cuentas de "dial−up" sea muy fácil, (además proporciona un mejor soporte de correo que Windows NT, incluso si te conectas con cientos o miles de cuentas). En el sistema UNIX, se almacena la información del usuario en un fichero llamado passwd, que esta situado en el directorio /etc/. Este fichero contiene los login, los nombres, y ocasionalmente incluso el password del usuario( Esto de forma encriptada). Esta información es vital y UNIX la utiliza para muchas tares, como por ejemplo, esta información es doblemente chequeada cada vez que nos conectas, o recibimos un e−mail y cada vez que nos desconectamos. Desafortunadamente, esta información está también disponible para el público en general a través de una utilidad que se llama finger. Finger. Es un servicio común de los sistema UNIX y cuyo propósito es proporcionar información del usuario a terminales remotos, y como todos los servicios que nos ofrecen los protocolos TCP/IP, finger está basado también en el modelo Cliente − Servidor. Cuando un Sistema UNIX se arranca por primera vez, se cargan cerca de una docena de servicios remotos (como el servidor Web, servidor FTP, telnet). El servidor finger se llama fingerd, más conocido como "finger Daemon". Este recoge las peticiones locales o remotas sobre información del usuario. Cuando se realiza una petición de este tipo, la información que ofrecerá será la nuestra. En UNIX, podemos realizar un finger desde la línea de comandos. Los resultados de estos se imprimen en el terminal local. Una petición podría ser: $finger −l jdoe@john−doe.com Este comando podríamos traducirlo como: "Busca a jdoe y dime todo lo que sepas sobre él". Cuando el 60
usuario solicita una respuesta el finger daemon de john−doe es contactado, busca a través del sistema y al final devuelve esta información: Login name: jdoe in real life: John Doe Directory: / shell: /sbin/sh Last Login Tue May 18 19:53 on pts/22 New mail received Mon May 18 04:05:58 1997; Unread since Mon May 18 03:20:43 1997 No Plam. Hace unos años esta información solo estaba disponible para los usuarios de UNIX y VAX/VMS. Hoy día existen clientes finger para todas las plataformas Algunos administradores de sistemas permiten un acceso no restringido del finger, al mundo exterior. Esto permite a usuarios remotos no solo identificarnos, sino también a todos en el sistema. Para hacer esto, los usuarios remotos ejecutan el comando: Finger @my_terget_host.com El símbolo @ trabaja precisamente como un * lo hace en una expresión normal. El comando quiere decir: "Háblame sobre los usuarios que están conectados." En muchos casos, empezando con finger y acabando con WorldPages, podemos encontrar la dirección de la casa de alguien en menos de 30 segundo. Así podemos concluir que finger puede llevar a un completo extraño hasta la puerta de nuestra casa.
SOLUCIONES AL PROBLEMA DEL FINGER. Hay soluciones para este problema, sin embargo, antes de preocuparnos de esto, debemos mirar si somos un blanco viable. Esto lo haremos de dos formas distintas − Realizar una consulta finger con nosotros mismos. − Chequear el fichero /etc/passwd en nuestro servidor ISP. Para chequear desde la línea de comandos del shell, utilizaremos el siguiente comando: Grep Nuestro_nombre /etc/passwd Ypcat passwd || cat /etc/passwd | grep Nuestro_nombre Este comando impimirá la información del fichero /etc/passwd del servidor, obteniendo una salida de la siguiente forma: Jdoe:x:65536:1:John Doe:/Export/home/jdoe:/sbin/sh 61
Si somos un blanco viable para el finger, hay varias cosas que podemos hacer par minimizar el riesgo: − Utilizar la utilidad chfn para alterar la información disponible para los de fuera. − Si chfn no está disponible, podemos pedir al administrador del sistema que cambie nuestra información. − Cancelar nuestra cuenta actual y comenzar una nueva. Por otro lado, sino nos preocupa lo que proporciona el finger, pero simplemente queremos conocer quien lo esta haciendo, usaremos MasterPlan. MasterPaln Realiza la labor de identificar quien nos está haciendo un finger. Cada vez que se detecta una consulta finger, MasterPlan captura el nombre del host y el ID del usuario que está ejecutando el finger. Esta información se almacena en el fichero llamado finger_log. MasterPlan podrá determinar con que frecuencia nos hacen una consulta finger, por lo que podemos detectar si alguien intentar hacernos un "Clock". ("Clocking" es cuando un usuario A intenta percibir los hábitos de un usuario B, por medio de varias utilidades de red, incluyendo el comando finger y los comandos r). En el "Clocking", el "Snooping party" usa un Script que de forma automatizada ejecutara el finguer en sus blancos cada n minutos o horas. Las razones por las que se realizan estas investigaciones son diversas, una es la construcción de un archivo sobre el blanco, donde se recogerá información como: ¿Cuando esta conectado el usuario?, ¿Desde donde se conecta normalmente? Un ejemplo: Un cracker quiere interceptar un e−mail de una periodista de renombre, que cubre las historias de los hackers . Esta periodista tiene varias cuentas y se conecta a una desde otra, es decir, encadena sus conexiones. De esta manera ella intenta mantener su dirección de e−mail en secreto. Ejecutando el "clock" sobre la periodista, el cracker es capaz de identificar su dirección de e−mail privada y no la publica. Es también capaz de comprometer su red y por último capturar su correo. MasterPlan puede identificar los patrones del "clocking" al menos con respecto a las consultas finger. La utilidad es pequeña y fácil de configurar. Se incluye el fuente C y su distribución es incluida en muchos sistemas UNIX. Podemos encontrar una distribución estándar de MasterPlan en: ftp://ftp.netscape.org/pub/Software/Unix/masterplan.tar.Z La versión para Linux la encontraremos en: ftp://ftp.netscape.org/pub/Software/Unix/masterplan−linux.tar.Z Una vez que nos hemos protegido contra las consultas finger, pensaremos que nuestros datos están a salvo, pero no es así, finger es sólo el comienzo, existen un adocena de formas de obtengan nuestra información a través de nuestra dirección de e−mail. Para finalizar, podemos pensar que MasterPlan previene que otros nos apliquen un finger, pero no es así, simplemente identifica que grupos y con que frecuencia nos lo aplican. Aun cuando nuestro proveedor prohibe las consultas finger, nuestro nombre es todavía fácil de obtener. Cuando los curioso intentan aplicarnos un finger y descubren que el este no funciona se vuelve contra nuestro servidor de correo. En muchas ocasiones los servidores aceptan conexiones Telnet por el puerto 25 (Puerto por el cual se envía el correo). Este tipo de conexiones son de la siguiente forma: 62
220 shell. Sendmail SMI−8.6/SMI−SVR4 at Wed, 19 Feb 1997 07:17:18 −0800 Si un extraño puede alcanzar el prompt, podrá obtener nuestro nombre utilizando el comando expn username. El comando expn expande los nombres de usuario en la dirección de e−mail y los nombres reales. La respuesta será normalmente de este tipo: Username < username@targer_of_probe.com >Real_name El primer campo nos proporciona nuestro nombre de usuario o el ID de usuario, seguido de nuestra dirección de e−mail, y finalmente nuestro nombre real. El administrador del sistema puede deshabilitar la función expn. En cualquier caso, si la función expn está operativa, los curiosos podrán obtener nuestro nombre si este está disponible. De nuev, la mejor poliza de seguro es borrar nuestro nombre del fichero passwd. De todas formas, si esta función está desactivada, el grupo de curiosos podrá verificar la existencia de nuestra cuenta con la función vrfy.
LA SEGURIDAD DEL NAVEGADOR. Con el aumento del comercio electrónico se están desarrollando nuevos métodos para seguir nuestro movimientos. Existe dos nuevos métodos para nuestro navegador: − Las direcciones IP y las cache Snooping. − Cookies. Por si mismo estas técnicas parecen bastante inofensivas. Sin embargo, si queremos permanecer anónimo deberemos seguir los siguientes pasos: Dirección IP y Cache Snooping. Cada vez que visitamos un servidor Web dejamos allí una pista, la cual se graba de diferentes formas en los distintos servidores. Una típica conexión de entrada en UNIX es de la siguiente forma: 153.35.38.245 [01/May/1998:18:12:10−0700] "GET / HTTP/1.1" 401.362 La primera entrada es la dirección IP, todos los paquetes de servidores Web son capaces de grabar las direcciones IP de los visitantes, sin embargo, muchos servidores Web pueden grabar otra información, incluyendo nuestro nombre de host e incluso nuestro nombre de usuario. Para ver que puede decir tu servidor Web sobre nosotros podemos visitar la página: http://www.ixd.com/cgi−bin/cgi−test.cgi El test−cgi se utiliza básicamente para capturar los distintos entornos, ambos en el servidor y en el lado del cliente. (Cuando esto ocurre, test−cgi puede ser un tremendo agujero en la seguridad y muchos ISPs lo borran de su servidor). Usando estos registro y Scripts el Webmaster puede saber donde estas, cual es tu dirección de red 63
Cookies. Los Cookies se utilizan para almacenar la información sobre nosotros y el navegador de páginas web. La gente de Netscape lo explican de esta forma: Es un simple mecanismo que proporciona una poderosa herramienta capaz de activar un host en entornos Web. Las aplicaciones de compras pueden almacenar información sobre los artículos seleccionados, para los derechos de servicio se puede devolver la información del registro y liberar así al cliente de tener que el ID de usuario en la siguiente conexión. Son lugares donde se podrán almacenar las preferencias del cliente y así tener tenerla cada vez que se este conectado. El concepto de cookie es como tener un sello en nuestras manos, cuando entras en alguna lugar, podemos vagar por el, hacer lo que queramos. Mientras el sello esta en nuestra mano no tendremos que volver a pagar ni tener acceso restrigido. Similarmente los cookies permiten al servidor Web recordarnos nuestro password, y diversa información. De esta forma cuando volvemos, esta información se recobra automáticamente. El problema es de donde se recobra esta información. El proceso es el siguiente: Cuando visitamos una página Web el servidor escribe un cookie en nuestro disco duro. (Es un fichero especial). Los usuarios de Windows podemos encontrar este fichero en diversos lugares, dependiendo de nuestro navegador y de la versión del Windows. Los cookies en la versiones más viejas están en un fichero llamado cookies.txt, en la nuevas se almacenan en C:\windows\cookies. Si observamos el contenido de un fichero cookie podemos ver que aparecen nuestra dirección IP. Los partidarios de los cookies insisten en que son inofensivos, que no pueden ayudar a identificar al usuario, y que ademñas son benignos. Esto no es cierto, como explican D. Kritol y L. Montulli: Un servidor original puede crear una cabecera Set−Cookie para seguir el camino de un usuario a través del servidor. Los usuarios podrían protestar por este comportamiento como una acumulación intrusita de información, incluso si nuestras identidades no son evidentes. Hoy en día los cookies se utilizan rutinariamente para la autentificación del usuario. Esto se distorsiona y se reconoce inmediatamente con un problema como se expresa en RFC−2109: Los agentes de usuario deberían permitir al usuario controlar la destrucción de los cookies. El cookie usado poco debe funcionar como un "fichero preferente" por las aplicaciones de red, y el usuario deberá mantenerlo incluso si es el último cookie usado. Una posible implementación sería un interface que permitiría un almacenamiento permanente del cookie a través de un Checkbox. A peso de todo esto los navegadores Web principales aún navegan con la opción Accept Cookie activada. Peor todavía, muchos navegadores tienen una opción que le avisa antes de aceptar un cookie, la cual está deshabilitada por defecto. El Netscape, por ejemplo, navega de esta forma. Si usamos Netscape Comunicartor, deberemos ir al menu Edit y elegir Preferences, una vez abierta haremos clic en Advanced, donde deshabilitaremos dicha opción. Microsoft Explorer navega básicamente en el mismo estado. Ahora la pregunta que nos planteamos es ¿Existe alguna solución a este problema?. Pues si, hay 2 muy buenas. Una resuelve el problema de los cookies y la otra resuelve todos los problemas relacionados con el snoop de las direcciones IP.
64
Combatiendo los Cookies. Los cookies pueden ser fácilmente detectados y destruidos usando un "Cookie Cutter". Estos son los programas que permiten nuestro control sobre ellos. Algunos de ellos son: − Cookie Pal Windows http://www.kburra.com/cp1setup.exe − CookieCutterPC Windows http://ayecor.com/software/cc32/ccpc32.zip − Cookie Monster MacOS http://www.geocities.com/Paris/1778/CookieMoster151.sit Los usuarios de windows y MacOS, puede crear ficheros o directorios para cookies solo de lectura. Esto les previene de que ningún cookie pueda escribir en el disco. Los usuarios de UNIX deberían tomar el fichero cookie.txt, y colocarle un enlace simbólico que apunte a to/dev/null. Algunas direcciones de interes son: URL: http://www.cookiecentrol.com/n_cookie_faq.htm URL: http://www.usual.com/article6.htm URL: http://www.junkbusters.com/ht/en/cookies.html Otro punto de interés que los cookies y los script test−cgi no son la única forma de que los Webmaster graben información en nuestra máquinas. Existen otras técnicas menos complicadas. Algunos Scripts escritos en JavaScript y Perl pueden obtener nuestra dirección IP. Este tipo de código también pueden obtener el tipo de navegador, el sistema operativo Con el javascript se conseguirán browser mejores y será usado en miles de sitios a través e Internet. Un script de Java muy popular es el "Bookém, Dan−o". Este script (escrito en Perl) conseguirá el tiempo de acceso a la página, el tipo de browser, su versión y la dirección IP.
SOLUCIONES PARA EL AISLAMIENTO DE TECNOLOGÍAS LUCENT Cookie culters son excelentes modos para pactar/negociar con la máquina destino (aunque de ese modo se disminuyen los cookies en tu browser). De cualquier manera, si tu estás auténticamente paranoico (como yo) necesitas Lucent Personalized Web Assistant. Hast la fecha es la única solución completa que se ha encontrado. El LPWA no sólo resuelve el problema de cookies, sino que también resuelve el problema de la dirección IP. Para combatir el problema de la privacidad. Lucent creó el LPWA. LPWA se apodera de todo tu tráfico de Internet, aunque en Lpwa.com lo único que se graba es la dirección IP. Esto proporciona una privacidad completa: los servidores de la web no pueden coger tu dirección IP, ni pueden activar cookies en tu disco.
USANDO LPWA Puedes usar LPWA con algún "Browser" que mantenga proxy gateways. Para hacerlo debes seguir 3 pasos 65
simples. • configurar tu browser para usar lpwa.com como proxy. • Conectar con lpwa.com • Entrar en la red
TU DIRECCIÓN DE EMAIL Y USENET Tu dirección de email es como cualquier otra cadena de caracteres. Si aparece en una página Web, se puede alcanzar por métodos de búsqueda. Una vez que un espía tiene tu dirección email esta se llena de anuncios, y puede ser un primer paso para entrar en tu sistema. DejaNews El buscador DejaNews es una herramienta especializada exclusivamente en buscar en Usenet. El DejaNews tiene archivos de información desde Marzo de 1995, y la dirección indica que ellos están constantemente intentando llenar huecos y sacar los artículos más viejos de la base de datos. Ellos pretenden trabajar para proporcionar todos los artículos enviados desde 1979. Asume que aunque tu nombre real no aparece en el correo Usenet, aparece en el fichero /etc/passwd del servidor UNIX que usas como gateway a internet. Aquí están los pasos que debes tomar: 1.− Los espías ven tu correo Usenet, tu dirección de email es visible pero tu nombre no. 2.− Los espías intentarán un finger para ver tu dirección, pero si eso ocurre, solicita demandas de prohibición de la herramienta finger. 3.− Los espías hacen un telnet al puerto 25 de tu servidor,, ejecutan el comando expn y obtienen tu nombre real. Una vez obtenida esta información, los investigadores intentarán encontrar el estado donde vives, Para esto usan el comando Whois.
El servicio Whois El servicio WHOIS (rs.internic.net) contiene el dominio de los registros grabados de toda América no militares situados en Internet. Los registros de la base de datos contienen información detallada de cada sitio de Internet, el dominio incluye nombre, dirección de servidor, contactos técnicos, número de teléfono y dirección. Armados con toda esta información los espías proceden a teclear http://www.worldpages.com. WorlPage es una base de datos grande con nombres de casas, direcciones de email y números de teléfonos de millones de usuarios de Internet. Los investigadores usan tu nombre real como cadena de búsqueda, especificando California como tu estado. Instantáneamente confronta con puntos que proporcionan nombre, dirección y número de teléfono. Aquí puede haber algunos problemas, dependiendo de cómo de común sea tu nombre. Por ejemplo si tu nombre es John Smith, los espías tendrán que buscar más tiempo. Cuando los espías descubren 3 direcciones y cada una en una ciudad distinta de Calfornia usan el host para determinar cual es la correcta. El host listará todas las máquinas desde las cuales se ha accedido a la red y su localización. El comando host puede identificar donde están localizadas cada workstation por ciudad. Por tanto, tu puedes 66
ver una entrada como la siguiente: Chatsworth1.target−provider.com Chatsworth es una ciudad al sur de California. Desde esta entrada, podemos asumir que chatsworth1.target−provider.com es localizado dentro de la ciudad de Chatsworth. El espía examina de nuevo tu post de Usenet y así se puede determinar que servidor has usado para enviar el artículo. Los espías extraen el nombre del estado pero no la dirección IP. Para completar el procesose hace un Telnet sobre el host que consta en el post. Cuando se inica la sesión Telnet aparece el número IP y desde el DNS se envía a la salida estándar. Ahora los buscadores tienen la dirección IP de la máquina que aceptó el correo original. Habiendo obtenido esta información los buscadores vuelven a WorldPages y eligen tu nombre. En segundos aparece un mapa de tu barrio, la localización exacta de tu casa se marca en el mapa con un círculo. Los buscadores conocen exactamente donde vives. En este momento, ellos pueden conseguir más información interesante sobre ti, por ejemplo: · pueden conocer tu status, a quien votas y tus afiliaciones políticas en el URL: http://www.india.com/lycos/voter−records.htm · pueden determinar cuales son tus candidatos preferidos y cuanto has contribuido (para las elecciones federales). Esta información la obtienen del URL: http://www.tray.com/fecinfo/aip.htm · también pueden conseguir tu número de la seguridad social y el día que naciste. Esta información está en el URL: http://kadima.com/ La gente minimiza la importancia de esto. Se mantienen en la idea de que esta información es accesible por muchas vías, pero no se dan cuenta de que Internet es una única vía de acceso a toda la información. El anonimato total en Internet es posible pero no recomendable. Hay foros a favor y en contra de este. La pregunta esta en si quien usa Internet está o no en derecho de tener anonimato, porque donde para algunas cosas es bueno para otras el anonimato en la red supone un peligro para los usuarios de la misma. Aquí hay unas buenas fuentes sobre la privacidad en Internet: Privacy & Anonymity on Internet FAQ Autor: L. Detweiler Contenido: muchas fuentes de privacidad y anonimato en internet. URL: http://www.prz.tu−berlin.de/derek/internet/sources/privacy.faq.02.html Anonymous Remailer FAQ Autor: Andre Bacard Contenido: Descripción de algunas técnicas de email anónimos, como trabajan y donde se pueden encontrar. URL: http://www.well.com/user/abacard/remail.html The Anonymous Remailer List Autor: Ralh Levien
67
Contenido: Localización de remailer en internet. URL: http://www.cs.berkeley.edu/raph/remailer−list.html
68