blog

Otro de los grupos a los cuales pertenecí cuando me inicié en este mundo de Hacking, en sus orígenes tuvo como nombre Security Wari Projects - SWP, para luego tener el nombre de PeruSEC. Grupo del cual en mi sitio web tengo publicados todos los número de la eZine. Este grupo estaba constituido únicamente por Peruanos, realizándose seís publicaciones en total. Aunque han transcurrido muchos años, recuerdo me contactaron para participar en este proyecto, en primera instancia porque soy de nacionalidad Peruana, y así mismo quienes me contactaron probablemente conocían yo pertenecía a RareGaZz, entre otros ámbitos en los cuales estaba involucrado.

Fuente:

https://www.youtube.com/live/7Obh8tAWg7U
https://www.reydes.com/d/?q=SWP-PeruSEC

En mi sitio web tengo publicadas todas las ediciones de la eZine. El nombre eZine por su traducción al idioma español es por "Revista Electrónica". Yo fui el editor de las últimas ediciones. Conocí de la existencia de esta revista aproximadamente por el año 1998. RareGaZz incluía temas muy atractivos, los cuales incluían hacking, cracking, phreaking, carding, viriing, y otros menos relacionados al "hacking". Su creador fue RareTrip. El propósito de la revista en sus orígenes era bastante simple; un grupo de personas apasionadas al Hacking compartiendo libremente sus conocimientos con todos los demás.

Fuentes:

https://www.youtube.com/live/1LaP1DPoox8
https://www.reydes.com/d/?q=RareGaZz

Se me ocurrió ir absolviendo algunas preguntas las cuales de manera clásica siempre me formulan, una de estas es; ¿Cómo iniciarse en el tema del Hacking?. Considero entonces compartir parte de como yo me inicié en este tema; pudiendo ser de hecho útil para quienes quieran empezar en el tema. Hablaré sobre temas de hace tal vez más de venite años, pero estoy seguro algunos de estos temas mencionados sobre vivencias propias pueden ser de utilidad. Además; a través de esta breve narración; cuando me pregunten sobre como iniciarse en el Hacking, les indicaré visualizar este video.

Fuentes:

https://www.youtube.com/live/82VNm8gSy78

Existen dos tipos de topologías las cuales juntas describen como los sistemas sobre una red son capaces de comunicarse. Para asegurar una red se debe entender como están físicamente conectadas y como se comunican.

Una topología física describe como la red está cableada junta. Esta es la disposición de como los sistemas están conectados mediante cables o dispositivos inalámbricos. Las topologías físicas basada en cable son fáciles de visualizar, debido a están interconectadas acorde a patrones geométricos simples, como anillo o estrella.

Después los sistemas están interconectados, deben conocer las reglas para enviar señales el uno con el otro. Estos protocolos son los responsables de asegurar la señal enviada por un sistema encuentre la ruta hacia su destino. El proceso seguido por el protocolo para enviar datos, sin importar como esté cableada físicamente, puede ser descrita utilizando una topología física.

Para entender mejor la distinción entre las topologías físicas y lógicas, considere como los seres humanos se comunican. En muchos casos las interacciones verbales son guiados por la gramática de un lenguaje particular, tal como el Español. El lenguaje Español tiene numerosas reglas dictando como se deben formar palabras y oraciones para ayudar a proporcionar un significado a lo cual se requiere decir. La gramática Española entonces es la topología lógica, la cual describe los protocolos de comunicación. La topología física de interacciones humanas define los sistemas utilizados para comunicarse. Por ejemplo un teléfono es una de tal topología física, correo es otro. Una topología lógica simple (Español) puede ser utilizado con múltiples topologías físicas (teléfono y correo). Similarmente cada sistema de comunicación puede actuar como un acarreador para diferentes lenguajes humanos.

Un profesional en ciberseguridad de redes debe entender la topología física del lugar, y asegurarse esté implementada correctamente. Cambiar un cable en la topología física puede reducir enormemente o eliminar seguridad, tal como evadir un cortafuegos. Una vez se comprende la topología física, es crítico evaluar la topología lógica utilizada, y asegurarse está apropiadamente asegurada.

Fuentes:

https://www.computernetworkingnotes.com/networking-tutorials/difference…
https://www.open.edu/openlearn/mod/oucontent/view.php?id=48821&section=…
https://www.open.edu/openlearn/mod/oucontent/view.php?id=48821&section=…

Manipulación CDP: Los paquetes CDP están habilitados por defecto en conmutadores Cisco, y son transmitidos en claro. Esto permite a los ciberatacantes analizar los paquetes y ganar información sobre el dispositivo de red. El ciberatacante puede entonces explotar vulnerabilidades conocidas contra el dispositivo. La solución es deshabilitar CDP sobre interfaces no gestionadas.

Inundación MAC: Un ciberatacante inunda el contenido de la tabla de memoria direccionable con direcciones MAC. Esta inundación abruma la capacidad de almacenamiento del conmutador. El conmutador por defecto empieza a funcionar como un hub, lo cual proporciona al ciberatacante la capacidad de husmear el tráfico junto al segmento de la red.

Suplantación DHCP: Esta es otra forma para un ataque de “hombre en el medio”, donde el ciberatacante escucha por peticiones DHCP, para luego responderlas con la dirección IP del ciberatacante como la pasarela por defecto.

Ataque STP: STP permite un conmutador funcione alterando los puertos, de tal manera pueda bloquear o reenviar varias condiciones acorde con los tipos de segmentos hacia los cuales está enlazado. Existen diferentes tipos de ataques los cuales directamente se dirigen a STP; un tipo de ataque involucra enviar paquetes de configuración BPDU, los cuales son un mensaje de datos transmitidos a través de un red de área local para detectar bucles en las topologias de la red.

Ataque de saltos VLAN: Con esto un ciberatacante puede crear y enviar tramas posicionadas desde una VLAN, utilizando etiquetas 802.1Q suplantadas, de tal manera el paquete finalice sobre una VLAN completamente diferente, sin pasar a través del encaminador.

El ataque Telnet está mal nombrado; más específicamente es un ataque SYN distribuido. Los sistemas operativos Windows tienen un ejecutable telnet accedible, el cual puede ser utilizado para configurar una sesión TCP. Esta técnica puede crear las condiciones de un ataque para negación de servicio, siendo popular con operadores de botnet criminales, pues el ejecutable ya es parte del sistema operativo.

Fuentes:

https://howdoesinternetwork.com/2011/switch-security-attacks

Los ataques para negación de servicio son logrados inundando el encaminador con peticiones, de este modo afecta su disponibilidad. Enviar una gran cantidad de paquetes ICMP desde múltiples fuentes hace el encaminador sea incapaz de procesar tráfico efectivamente, y por lo tanto lo hace incapaz de proporcionar servicios.

Un ataque distribuido para negación de servicio utiliza una armada reclutada de computadoras referidas como hosts “zombis”, los cuales están infectados con una pieza de software diseñado para enviar paquetes hacia los encaminadores, todos al mismo tiempo. Los ataques DDoS pueden utilizar cientos y potencialmente miles de computadoras al unísono. Cuando un ciberatacante activa un guion (script) desde las computadoras infectadas, golpean a los encaminados y subyugan sus recursos.

El humear (sniffing) paquetes es un método para capturar datos utilizando programas maliciosos, el cual vigila el tráfico de red. En el pasado, esto requería acceso físico hacia un entorno Ethernet cableado, pero con el predominio actual de los encaminadores inalámbricos, el husmear paquetes se torna en una amenaza más común, pues un acceso no autorizado no requiere acceso directo hacia la red física.

El desvió de paquetes es cuando un encaminador es inyectado con código malicioso, el cual causa el encaminador simplemente maltrate los paquetes. En resumen, las operaciones del encaminador son interrumpidos, y el encaminador no es capaz de acarrear sus propios procedimientos de encaminamiento. Este tipo de ataque es difícil de encontrar y arreglar, pues la interrupción del encaminador crea bucles, condiciones para negación de servicio, y otra congestión en la red.

Un ataque de inundación SYN ocurre cuando el paquete para sincronización del protocolo TCP es utilizado para razones maliciosas. El ciberatacante enviará un gran número de paquetes TCP/SYN hacia el servidor destino. Debido al servidor será incapaz de establecer una conexión, la dirección se torna inalcanzable. La inundación SYN es una forma de negación de servicio, porque tiene la capacidad de abrumar los recursos del encaminador.

Un ataque TCP Reset ocurre cuando un ciberatacante termina una conexión TCP con un paquete falsificado, utilizando un bit RST (reset). El ciberatacante husmea la conexión TCP para obtener la dirección IP origen, número de puerto origen, dirección IP destino, número de puerto destino, y específicamente el número de secuencia saliente. Con esta información el ciberatacante puede crear un paquete TCP falso, con la dirección IP origen adecuada, puerto destino, y número de secuencia. El único cambio es el ajuste del bit RST, el cual termina la conexión tan pronto como el paquete alcanza su destino. Esto interrumpe el flujo de datos hasta una nueva sesión sea establecida.

Envenenamiento para la tabla de encaminamiento. Una tabla de encaminamiento es como el encaminador mueve paquetes en la red. La tabla de encaminamiento es creado intercambiando información para encaminamiento entre encaminadores. El envenenamiento para la tabla de encaminamiento es hecho creando ediciones indeseables hacia la información de encaminamiento el cual es difundido por los encaminadores. Este ataque puede causar un daño severo en la red.

Un interno malicioso o empleado descontento con conocimiento sobre la red, puede acceder a los encaminadores sin autorización y compromiso de la red.

Fuentes:

https://smallbusiness.chron.com/types-attacks-routers-71576.html

Diferentes grupo de ciberatacantes se dirigen y atacan diferentes sistemas con variantes propósitos, utilizando una diversidad de técnicas. Cada tipo de ciberatacante es denominado un “agente de amenaza”, el cual simplemente es una entidad (individuo o grupo), capacitado y motivo para realizar un ciberataque. Los agentes de amenaza tienen diferentes metas, diferentes métodos, diferentes capacidades y accesos, además tienen diferente tolerancia al riesgo dictando los diferentes extremos a los cuales llegarán con éxito. Con este conocimiento relacionado a estas diferencias, se puede percibir porque es importante entender quienes son los ciberatacantes y porque podrían realizar los ciberataques. Es también importante recordar los agentes de amenaza humanos siempre tienen tres atributos; inteligencia, adaptación, y creatividad.

Es importante anotar una amenaza puede originarse desde algo no siendo humano. Los desastres naturales, como incendios o terremotos son agentes de amenazas hacia sistemas de cómputo. Sin embargo para nuestros propósitos nos enfocamos en ciberatacantes humanos.

Cuando se evalúa la probabilidad de un ciberataque, es importante conocer el número de posibles ciberatacantes, y cuan activos han estado. Algunas preguntas relevantes a responder son:

1. ¿Cuan activo es algún agente de amenaza particular?

2. ¿Cómo podría un agente de amenaza utilizar un tipo de ataque particular?

Existen tres amplias categorías para agentes de amenaza.

1. Cibercriminales y crimen organizado

Contando en billones, algunas veces decenas de billones de dólares cada año. Los cibercriminales desean beneficio económico de sus cibercrímentes.

2. Ciberespionaje

Son agentes de amenaza teniendo una meta diferente, el cual no tiene relación con el dinero, pero si relación con la información e interrupción. Las Amenazas Avanzadas Persistentes son bien nombrados así porque estos esfuerzos de ciberataque pueden durar años en muchos vectores, estando muy bien financiados, significando ningún reto es muy difícil. Los ciberatacantes invierten tiempo y recursos necesarios para cumplir sus metas. Como los cibercriminales, APTs es una estrategia contraria al riesgo, intentando ocultar la intrusión y cualquier compromiso. Esto es muy diferente a los cibercriminales, quienes prefieren encontrar un objetivo más fácil o expuesto.

3. Activista de Computadoras o “Hacktivistas”

A diferencia de otros cibercriminales o espías, los activistas típicamente no cubren sus huellas, porque desean el mundo conozca sobre una brecha. Los hacktivistas frecuentemente anuncian el compromiso en lugar de intentar ocultarlo. Su meta es destapar o exponer cosas incorrectas, o incluso acciones ilegales.

Una defensa en profundidad debe ser mucho más amplia y detallada contra el espionaje industrial o espionaje de naciones, frente a ciberdelincuentes o hacktivistas.

Fuentes:

https://en.wikipedia.org/wiki/Threat_(computer)
https://www.ibm.com/topics/threat-actor

La enumeración de amenazas, en su forma más básica, es el proceso de entender las amenazas hacia los sistemas o redes. Una vez se presentada la arquitectura en una manera soporte el análisis de ciberseguridad, el siguiente paso es la enumeración y examen de todas las amenazas relevantes.

Listar Todos los Posibles Agentes de Amenaza

La pregunta general es; “¿Quiénes son los agentes de amenaza y quienes estarían más interesados en atacar la red?”. Como ya se conoce, cualquier sistema abierto hacia el tráfico de Internet podría ser atacado continuamente, siendo la mayoría de estos ataques no dirigidos o sin objetivos. Los cibercriminales en general tienen una tolerancia de bajo riesgo; así muchas veces estos barridos utilizan scripts no sofisticados y automáticos, intentando ciberataques bien conocidos contra sistemas potencialmente sin parchar. Aparte de estos agentes básicos de amenaza, existen aquellos interesados en robar información financiera o en varias formas de ciberfraudes, tales como un ciberataque para negación de servicio (DoS), como una manera de chantajear a las organizaciones.

Métodos de Ataque

El objetivo general de un cibercriminal es maximizar el beneficio con mínimo esfuerzo; en otras palabras; hacer tanto dinero como sea posible. Debido a este hecho un cibercriminal quien tiene como propósito atacar los sistemas o redes de una organización, intentará utilizar tanta tecnología previamente existente y probada como sea posible. Existe un gran mercado negro para herramientas de ataque, similar a las herramientas de ataque y pruebas de penetración, como Metasploit.

Objetivos a Nivel del Sistema

Los ciberatacantes tienen muchos objetivos a nivel del sistema. Si su meta es ejecutar comandos involuntario o acceder hacia datos sin la autorización apropiada, es probable intenten una inyección SQL o LDAP. Si requieren ejecutar scripts en una navegador, secuestrar la sesión de un usuario, alterar o desfigurar un sitio web, o redireccionar a los usuarios hacia otro sitio, utilizarán Cross-Site Scripting (XSS). Los cibercriminales utilizarán un Cross-Site Request Forgery (CSRF) para generar aquello pareciendo ser peticiones legítimas desde la máquina victima, o forzar al navegador de la victima a enviar una petición HTTP falsificada. Otros objetivos a nivel del sistema involucran redirección y reenvío, donde el ciberatacante reenviará usuarios hacia otros sitios web, redireccionar victimas hacia sitios de malware, o utilizar reenvíos para accede hacia páginas no autorizadas.

Fuentes:

https://emb3d.mitre.org/threats/
https://ebrary.net/84346/computer_science/threat_enumeration

Muchas organizaciones cuando piensan sobre ciberseguridad, frecuentemente se enfocan en fortalecer los servidores. Parchar, actualizar, asegurar, y adecuadamente gestionar ciberseguridad, son todas áreas claves a enfocarse para la mayoría de equipos en ciberseguridad. Si se comprometiese la infraestructura de la red, los mecanismos de seguridad puede ser evadidos, la autenticación puede ser interceptada, y se pueden capturar datos críticos. Tan importante como una red es para una organización, resulta sorprendente cuantas veces esto es ignorado desde la perspectiva de ciberseguridad.

Es frecuente encontrar encaminadores y conmutadores sin parches, y ejecutando versiones antiguas de un Sistema Operativo. Aunque la infraestructura de una red es importante, frecuentemente el enfoque se centra únicamente en la disponibilidad. Si la red está activa y funcionando todo debe estar bien. La lógica fallida de esta perspectiva es la funcionalidad podría estar bien, pero si la ciberseguridad es débil y se han comprometido los dispositivos de la red, el juego finaliza rápidamente.

Los encaminadores conectan diferentes redes. No únicamente conectan una organización hacia Internet, sino también conectan hacia redes internas. Si un encaminador es comprometido, proporciona al ciberatacante visibilidad en todo el trágico fluyendo sobre la red. Debido a encaminadores externos son de manera frecuente directamente accedibles desde Internet con una dirección IP pública, se convierten en un objetivo principal de ataque. Si un encaminador externo es comprometido, el ciberatacante puede vigilar todo el tráfico saliendo y entrando hacia la red.

Los conmutadores conectan computadoras para formar redes o redes virtuales conocidas como VLANs. Debido las VLANs se tornan en una manera común de aislar o segmentar redes, si un conmutador es comprometido, un ciberatacante puede realizar lo denominado como “VLAN hopping”, potencialmente evadiendo los controles de seguridad implementados.

Fuentes:

https://en.wikipedia.org/wiki/VLAN_hopping

En cualquier organización, ya sea grande o pequeña, todos los datos no se crean igual. Algunos datos son rutinarios e incidentales, mientras otra información pueden ser muy sensibles, consecuentemente la perdida de estos podría causar un daño irreparable para una organización. Otra parte importante sobre la arquitectura de ciberseguridad es entender donde residen los datos, una vez pasan sobre la red hacia su destino. Este entendimiento nuevamente inicia con la arquitectura lógica. La mejor perspectiva a tomar es mirar en la propiedad intelectual. Identificar aquella propiedad intelectual crítica en la organización, además de como y donde es almacenada en la red. Cuales mecanismo de seguridad están implementados para asegurar la confidencialidad, integridad, y disponibilidad. ¿Dónde están físicamente ubicados los dispositivos de almacenamiento?. ¿Estos están seguros de un ciberataque físico y electrónico?. Adicionalmente se necesita conocer quien tiene acceso hacia esta información, e igualmente importante, quien “debería” tener acceso a esta.

En muchas organizaciones los datos críticos no están contabilizados, siendo almacenados en diversas ubicaciones a través de la red, con varios niveles de seguridad. Recordar un ciberatacante únicamente debe encontrar una ubicación para comprometer los datos críticos. Recordar se es únicamente tan fuerte como el enlace más débil. Inadvertidamente almacenar datos sobre sistemas vulnerables es un enlace débil en varios entornos. Por lo tanto un componente clave de una arquitectura efectiva es reducir el alcance del problema. Reducir el número de áreas en las cuales se almacenan los datos críticos, además de implementar mecanismos para defensa efectiva contra estos repositorios de datos.

Fuentes:

https://www.zdnet.com/paid-content/article/have-you-asked-yourself-five…