Blogs

Defenderse contra Ataques Internos

Para una empresa se defienda efectivamente a si misma contra un ataque interno, en primera instancia se debe abandonar la noción sobre los ataques únicamente se originan desde el exterior. Los ataques actuales y más dañinos frecuentemente se originan desde el interior de la empresa, sin embargo, los controles para el acceso y políticas para la LAN interna, frecuentemente están muy por detrás de los controles fronterizos o en el borde, y de la política para el uso de Internet para los empleados de la empresa.

Recuperar la Contraseña del Administrador Local utilizando Cain

Habiendo deshabilitado el antivirus, se puede ejecutar la herramienta Cain desde una unidad USB, CD o DVD, para proceder a instalarlo en el sistema Windows en evaluación. El proceso de instalación consultará si se requiere instalar WinPcap. Esto es opcional, aunque no se podría realizar sniffing de contraseñas o ataques de hombre en el medio para simular ataques. Cain es principalmente una herramienta para auditar contraseñas. on la herramienta Cain ejecutada desde una unidad USB, la recuperación del archivo “SAM” resulta relativamente sencilla.

Deshabilitar el Antivirus Después de Obtener Acceso de Administrador

Cain, como cualquier otra herramienta para pruebas de penetración o hacking ético, puede ser detectado por la mayoría de productos antivirus instalados en el sistema bajo evaluación. Si Cain es detectado, puede ser reportado hacia el gestor del producto antivirus en la compañía. El deshabilitar el software antivirus puede ser realizado de diversas maneras, dependiendo del producto y como este configurado. Las opciones más comunes incluyen.

Recuperar la Contraseña del Administrador utilizando samdump2 y John The Ripper

Habiendo obtenido acceso físico hacia el sistema en evaluación, y capturados los archivos de nombre SAM y SYSTEM. Los hashes de las contraseñas de un sistema Windows pueden ser extraídos o volcados, para luego intentar obtener las contraseñas en texto plano, y entre ellas obtener la contraseña de la cuenta del usuario Administrador. Esta contraseña podría no ser única para la máquina, y podría funcionar también en un grupo de computadoras sobre la red objetivo de evaluación.

Ganar Privilegios de Administrador Local utilizando chntpw

El sistema operativo local podría tener incorporada varias cuentas, al menos una de las cuales podría ser altamente privilegiada. Por defecto, la cuenta más privilegiada será la cuenta de Administrador, pero no es infrecuente la cuenta sea renombrada, en un intento de ocultarla de los atacantes. Sin importar cual nombre de cuenta se tenga, siempre estará en el grupo de Administradores. Una manera fácil de ver cuales usuarios son miembros del grupo local de Administadores de una máquina individual, es utilizar el comando “net” desde la línea de comando.

Realizar un Ataque Interno

Realizar un ataque desde el interior, puede ser realizado utilizando herramientas y técnicas familiares, los cuales son abarcadas ampliamente en el ámbito del Hacking Ético. La principal diferencia es se está trabajando dentro de la compañía objetivo, a un nivel privilegiado previamente establecido de un empleado, completamente con su cuenta de red. En muchos casos, se puede establecer un lugar privado desde el cual trabajar, al menos inicialmente, pero en algunos casos se necesitará trabajar a la intemperie, en presencia de otros empleados.

Ataques Internos

En lo referente a obtener acceso hacia los activos de información, esto puede ser realizado mediante pruebas de penetración físicas o mediante la utilización de ingeniería social. Ambos son ejemplos de ataques para un intruso motivado, quien puede utilizarlos para ganar acceso hacia la infraestructura del sistema para la información detrás de las defensas fronterizas primarias. Pero ahora también es necesario abordar la perspectiva de alguien quien ya tiene acceso hacia los sistemas de información del objetivo, un “insider” (interno).

Defensa contra Pruebas de Penetración Físicas

Se podría asumir la protección a los activos informativos de la empresa desde una intrusión física es abarcada bajo los mecanismos de seguridad actuales, pero frecuentemente este no es el caso. Estos mismos activos deben estar disponibles para los empleados, de tal manera puedan realizar su trabajo. Todos lo necesario para un atacante es obtener acceso físico hacia la infraestructura de la red de datos, viéndose convincente ya sea como un empleado, o como si se perteneciese al edificio por alguna otra razón.

Pages

Sobre el Autor


Alonso Eduardo Caballero Quezada - ReYDeS
Instructor y Consultor en Hacking Ético, Forense Digital & GNU/Linux
Correo Electrónico: ReYDeS@gmail.com
Twitter: @Alonso_ReYDeS
LinkedIn: pe.linkedin.com/in/alonsocaballeroquezada
Facebook: https://www.facebook.com/alonsoreydes
Youtube: http://www.youtube.com/c/AlonsoCaballero
Resumen de mi CV: http://www.reydes.com/d/?q=node/1