30.Software que vulnera la seguridad del sistema.

En este apartado vamos a estudiar tanto las aplicaciones (virus, gusanos, snifadores ... ) como el tipo de intrusos que mediante el uso de las mismas amenazan la seguridad del sistema.

Clasificación de los atacantes

Los atacantes se pueden clasificar según el tipo de ataque:

• Hackers: son personas con grandes conocimientos informáticos y telemáticos (expertos programadores). Por su infinita curiosidad dedican un gran esfuerzo a investigar los sistemas operativos y los sistemas de seguridad para descubrir todas sus vulnerabilidades. La principal motivación de los hackers es seguir aprendiendo y mostrar las vulnerabilidades de los sistemas al mundo. En ningún caso buscan un beneficio económico o dañar la estructura del sistema. Podríamos hacer un símil con una persona que ha sido capaz de acceder al interior de una caja fuerte, pero no se ha llevado nada, simplemente ha dejado una nota informativa diciendo que ha estado allí, para informar de la vulnerabilidad de la misma. También son conocidos como hackers de sombrero blanco.

• Crackers o hackers de sombrero negro: el término hacker fue utilizado por los medios de comunicación de forma genérica, para referirse a cualquier intruso en un sistema, sin tener en cuenta la finalidad del ataque. Por este motivo, los propios hackers inventaron una nueva palabra para designar a aquellas personas que rompían las barreras de seguridad de los sistemas con fines maliciosos, bien porque buscaban un beneficio económico o bien porque por venganza dañaban las estructuras de los
  sistemas, etc. La palabra cracker proviene de CRiminal hACKER, es decir hackers criminales, hackers cuyas intenciones son maliciosas. 

• Phreakers: son expertos en telefonía. Son conocidos como los phone crackers, los crackers de la telefonía, buscan un beneficio económico saboteando las redes telefónicas para realizar llamadas gratuitas.

• Ciberterroristas: son expertos en informática y en intrusismo en la red, que ponen sus conocimientos al servicio de países y organizaciones para el espionaje o sabotaje informático. 

• Programadores de virus: son expertos en programación, en sistemas y en redes, que crean pequeños programas dañinos, que por uno u otro motivo llegan a la red y se distribuyen con rapidez ocasionando daños en los sistemas o en la información almacenada en los mismos.

•  Carders: atacan los sistemas de tarjetas, especialmente los cajeros automáticos.

• Sniffers: lo podríamos traducir como colilla, son las personas que se dedican a escuchar el tráfico de la red, para intentar recomponer y descifrar los mensajes que circulan por la misma.

• Lammers: también conocidos como wannabes o script-kiddies o c1ick-kiddies, son chicos jóvenes que sin grandes conocimientos informáticos, se creen verdaderos hackers y se lo hacen creer a los miembros de sus pandillas. Estos sólo se han descargado herramientas o programas de Internet para realizar ataques informáticos y los han puesto en marcha sin saber cómo funcionan. Los verdaderos hackers muestran una gran repulsa hacia los lammers.

• Newbie: son los hackers novatos, empiezan a aprender y van superando los primeros retos para llegar a ser verdaderos hackers. 

Tipos de ataques

Podemos hacer una primera clasificación de los tipos de ataques según los objetivos de seguridad que vulneran.

• Interrupción, este tipo de ataque vulnera la disponibilidad de un recurso del sistema o de la red. El recurso no podrá ser utilizado. Ejemplos, denegación del servicio, el apagado manual de cualquier recurso (equipo, servidor, impresoras)' el rabo de un disco duro, cortar una línea de comunicación, deshabilitación de un sistema de ficheras (umount).

• Intercepción, ataca la confidencialidad. Un intruso accede a información almacenada en nuestro sistema o al que hemos trasmitido por la red, es decir, la información ha caído en manos de personal no autorizado. Ejemplos, captura de información en la red o copia de archivos no autorizada.

• Modificación, ataca el objetivo de integridad. Los datos han sido manipulados por
  personal no autorizado en algún momento entre su creación y su llegada al destinatario. La información que se dispone después de un ataque de estas características no es vólida ni consistente. Ejemplos, las modificaciones de programas para que realicen acciones diferentes a las propuestas originalmente, modificar un mensaje transmitido por la red, DNS spoofing.

• Fabricación, este tipo de ataque vulnera la autenticidad. Se trata de modificaciones destinadas a conseguir que el producto final sea similar al atacado de forma que sea difícil distinguirlo del original. Por ejemplo, el phising .

• Spoofing o suplantación de la identidad: la técnica de spoofing (engaño o falseamiento) se usa en redes ethernet conmutadas, es decir, en redes que hacen uso de switch como elemento de interconexión entre los diferentes Pe. Este ataque consiste en falsear algún dato de un PC atacado. Existen distintos tipos de spoofing, como puede ser el arp spoofing o arp poisoning, que consiste en engañar a la tabla arp que los equipos guardan en memoria, tabla que simplemente asocia una dirección física o mac de una tarjeta de red con su IP (Fig. 5.65). 

• Sniffing o análisis de tráfico: como hemos comentado en el epígrafe de tipos de atacantes, este tipo de ataques consiste en escuchar el tráfico de la red.
  En las redes de área local que utilizan el HUB como medio de interconexión entre los equipos, esta técnica se convierte en un juego de niños; como sabemos, los hubs o concentradores repiten toda la información recibida por cada uno de sus puertos. Para dificultar el uso de esta técnica, debemos sustituir los concentradores por switchs o conmutadores, ya que estos últimos al tener definidas las tablas de direccionamiento (CAM Control Addressable Memory) sólo mandan la información recibida por el puerto
  adecuado. Pero es tan fácil como utilizar una técnica de MAC flooding, que consiste en saturar la memoria de los conmutadores para que pierdan la tabla de direccionamiento y terminen funcionando como concentradores, es decir, que reenvían la información recibida por todos los puertos por no saber por cuál de ellos debe enviarla. 

• Conexión no autorizada a equipos y servidores: este tipo de ataque consiste en descubrir distintos agujeros en la seguridad de un sistema informático y establecer con el mismo una conexión no autorizada. Ya sea porque hemos descubierto las contraseñas de algunos usuarios, como en el caso práctico anterior, o bien utilizando aplicaciones malware que aprovechan las puertas traseras o agujeros para permitir el acceso al equipo desde el exterior.
• Introducción en el sistema de malware. Virus, troyanos y gusanos: los virus, troyanos o gusanos son conocidos como malware, programas malintencionados, que infectan nuestro equipo dañando de múltiples formas nuestro sistema.
  Los virus son programas que se propagan entre los equipas. Su código se adjunta al de otro programa existente en el sistema para facilitar la propagación del mismo y causar los daños para los que han sido diseñados por el creador. La característica principal es que su código ha sido escrito con la intención de que se vaya replicando para así infectar el mayor número de equipos posibles. Ejemplos famosos de virus son Barrotes, Viernes 13 ...
  
  Los gusanos son diseñados con el mismo fin que los virus, que se propaguen por la red. Se diferencian en que éstos no necesitan la intervención del usuario, ya que no se adjuntan a ningún otro programa, sino que son distribuidos de manera completa par la red consumiendo en la gran mayoría de los casos un gran ancha de banda de la red o pueden llegar a bloquear el equipo infectado. Algunos ejemplos famosos de este tipo de programas son Sasser y Blaster. Los troyanos son aplicaciones aparentemente inofensivas que facilitan en la mayoría de los casos el acceso remoto a los equipos infectados. Estas aplicaciones se
  pueden esconder en archivos adjuntas en los mensajes que enviamos por la red.

• Keyloggers: la traducción literal de esta palabra, registrador (Iogger) de teclas (keys),nos da una idea del tipo de ataque que va a realizar. Se utiliza como herramienta maliciosa para conocer todo lo que un usuario escribe a través del teclado, incluso a veces registran capturas de pantalla del equipo. Para alcanzar estos objetivos existen herramientas hardware y software. Los periféricos diseñados para tal fin pueden ir desde un teclado en apariencia idéntico a uno normal pera que contiene una memoria no volátil donde almacena la información escrita o bien mediante un pequeño
  dispositivo que se conecta entre el puerto del ordenador (USB o PS2) y un teclado.

• Denegación del servicio: este tipa de ataque también es conocido par sus siglas: DoS (Denial Of Service). Se ejecuta contra servidores o redes de ordenadores con el propósito de interrumpir el servicio que están ofreciendo. Es conocido el ataque DoS que realizaron piratas informáticos de la antigua Unián Soviética y que paralizá el acceso a Internet de los estonios, tras la decisián del gobierno del país báltico de retirar una estatua que conmemoraba a los muertos soviéticos durante la Segunda
  Guerra Mundial. También son conocidos los ataques de este tipo lanzados contra los servidores raíz del sistema de nombres distribuido DNS, con el fin de dejar Internet paralizada al no poder disponer los usuarios del servicio de resolución de nombres. Entre los múltiples tipos de ataque DoS se pueden destacar los siguientes:

1. La mayoría de los ataques de denegación de servicios son realizados al unísono desde múltiples máquinas que han sido convertidas en zombies por crackers de la red, llamándose en este caso DDoS, ataque de Denegacián de Servicio Distribuido.
2. Ping de la muerte, consiste en enviar multitud de pings a un ordenador con un tamaño de bytes muy grande, lo que bloqueaba las conexiones en los antiguos sistemas operativos; en los actuales este tipo de ataque está subsanado y por tanto se puede considerar como historia.

• Inundación de peticiones SYN: más conocido por SYN Flood, consiste en hacer una peticián de establecimiento de conexián a un servidor y no responder a su aceptación de conexián, bien sea porque se falseó el paquete de petición con una IP falsa o por alguna otra causa. Este tipo de ataque provoca una saturación en las conexiones abiertas del servidor, de tal forma que si estas son muy elevadas pueden llegar a producir un colapso del servicio ofrecido con la consiguiente denegación de servicio. Mediante el simple uso del comando netstat (comando que nos permite ver el estado de las conexiones) se puede ver si estamos siendo víctimas de un
  ataque de este tipo y para combatirlo se recomienda el uso de filtros en los routers que paren el tráfico de IP que puedan ser falseadas. 

• Dialers: también conocidos como marcadores telefónicos, se hicieron muy famosos a principios de los años noventa cuando la mayoría de la gente se conectaba a Internet mediante módem.
  Son programas de conexión a Internet mediante módem, que realizan una llamada a un teléfono con tarificación especial, como aquellos que empezaban por 905.
  Estos pragramas actuaban sin la intervención y sin el consentimiento del usuario provocando una factura telefónica desorbitada. Hoy en día con las conexiones ADSL los dialers casi han desaparecido en la mayoría de los hogares.

• Ingeniería social: es un ataque que afecta al objetivo de confidencialidad de la seguridad informática. Esta técnica consiste en obtener información secreta de una persona u organismo para utilizarla posteriormente con fines maliciosos. Habitualmente los ingenieros sociales utilizan el correo electrónico, páginas Webs falsas, el correo ordinario o el teléfono para llevar a cabo sus planes. Los ejemplos más llamativos de estos ataques son el phising y el uso de una máquina atacada para la envío de spam. 

• Phishing: es una técnica de engaño al usuario, que intenta adquirir información confidencial del mismo suplantando la identidad de otros personas, organismos o páginas WEB de Internet. Uno de los métodos de Phishing más utilizados hoy en día consiste en colgar en Internet una página que es copia idéntica de alguna otro, como puede ser la de alguna entidad financiero o banco.
  El engaño consiste en que si alguien confunde esta página falsa con la original e introduce en ella sus datos personales como puedan ser el número de tarjeta o el PIN de la misma, estos números se les manda directamente a los creadores de la estafa, que consiguen así tener en su poder información que puede comprometernos.La manera de no caer en estas estafas es tener en cuenta que nunca los bancos ni organismos oficiales piden a través de correos electrónicos datos confidenciales.
  También debemos mirar con cautela las direcciones URL de las páginas visitadas, pues sucede a menudo que si la dirección real es por ejemplo www.mibanca.es. la dirección que utilizan este tipo de delincuentes para diseccionar la página será algo así como www.mibanco.es o www.misbanca.es. Es decir, la URL tiene una pequeña diferencia que a primero vista no se notará pero que obligatoriamente ha de tener.
  Hasta hace poco tiempo, este tipo de ataques solo afectaba a entidades financieros, pero actualmente estos ataques han afectado a otros organismos, como el INEM, Cámaras de Comercios de diferentes ciudades y últimamente a la Agencia Tributaria.