|
| |
Uebercracker: Intrusos en el sistema
Todos los días, en todo el mundo, las redes de ordenadores y hosts son violados. El nivel de sofisticación de estos ataques varia ampliamente;
mientras hay una creencia generalizada que la mayoría de estas intrusiones tienen éxito debido a la debilidad de los passwords, hay todavía un gran
numero de intrusiones que hacen uso de técnicas mas avanzadas para entrar. Poco es sabido acerca de este ultimo tipo de intrusiones , debido
principalmente a su naturaleza y a su dificultad de ser detectadas.
ERT. SRI. The Nic. NCSC. RSA. NASA. MIT. Uunet. Berkeley. Purdue. Sun. Cualquier sistema en Internet (y muchos que no lo están) son
susceptibles de ser violados fácilmente. Son estos objetivos inusuales? Que ocurrió?
Un chaval, con pelo rubio y grasiento, sentado en una habitación oscura. La habitacion esta iluminada solamente por la luz de la pantalla de 40
caracteres de un C64. Tomando otra larga calada de su Benson & Hedges, su cansado sistema cracker "Telnetea" a otro site ".mil" anónimo de su lista
de víctimas. No importa. Tiene toda la noche….lo tacha de su lista, y cansinamente teclea la siguiente víctima potencial….
Esta parece ser la imagen habitual de un cracker de sistemas. Joven, sin experiencia, y con un montón de tiempo que perder, tan solo para entrar en
otro sistema. Sin embargo, hay un tipo de cracker mucho mas peligroso rondando por ahí. Uno que sabe todo lo ultimo acerca de seguridad de
sistemas y herramientas cracking, que puede modificarlas para llevar a cabo ataques específicos, y que puede currarse sus propios programas. Uno que no
solo se dedica a leer sobre los últimos agujeros de seguridad, sino que
tambien descubre bugs y puntos débiles. Una "criatura mortal" que puede tanto golpear "envenenadamente" , como ocultar su rastro sin un solo
susurro o pista. El uebercracker esta aquí..
Por que "uebercracker" ? Es una idea robada, obviamente, del uebermensch de Nietzsche,o , literalmente traducido al ingles, "over man".
Nietzsche uso el termino no para referirse a un super hombre de comic, sino a un hombre que va mas alla de la
incompetencia, insignificancia, y debilidad del hombre tradicional. Por lo tanto el uebercracker es el cracker de sistemas que ha ido mas alla
de los simples metodos de intrusion de los cookbooks. Un uebercracker no se motiva normalmente para realizar actos violentos.
Las victimas no son arbitrariamente escogidas - hay un proposito, tanto como si es por conseguir fines monetarios, un ataque "golpea y corre" para
pillar informacion, o un desafio para golpear un prestigioso-gran site o red personalmente. Un uebercracker es dificil de detectar, mas aun de
parar, y aun mas si cabe de mantenerlo alejado de tu site por tu bien.
Overview
En este texto vamos a realizar un acercamiento inusual a los sistemas de seguridad.
En vez de decir meramente que algo es un problema, vamos a mirar a traves de los ojos de un intruso, y ver por que lo es. Vamos a ilustrar que
incluso los aparentemente inocuos servicios de red pueden convertirse en herramientas muy valiosas a la hora de buscar puntos debiles en un sistema,
incluso cuando estos servicios operan del modo esperado.
En un esfuerzo por verter algo de luz sobre como ocurren estas intrusiones cada vez mas avanzadas, este texto reseña varios mecanismos usados
actualmente por los crackers para obtener acceso a los sistemas y, adicionalmente, algunas tecnicas que sospechamos estan usando, o hemos
usado nosotros mismos en tests o ambientes autorizados/amigables.
Nuestra motivacion a la hora de ecribir este texto ha sido el hecho de que los administradores de sistemas no son muy a menudo conscientes del peligro
existente por cualquier cosa mas alla de los ataques mas triviales. Mientras por todos es sabido que el nivel de proteccion apropiado depende
de que es lo que debe ser protegido, muchos sites parecen estar faltos de los recursos para valorar que nivel de proteccion es adecuada.
Dando a conocer lo que los intrusos pueden hacer para ganar acceso a un sistema remoto, intentamos ayudar a los
administradores de sistemas a tomar decisiones sobre como proteger su site - o como no hacerlo. Limitaremos la
discusion a tecnicas que pueden posibilitar el acceso a intrusos a shells en un host corriendo UNIX. Una vez hecho esto, los detalles acerca de como
conseguir privilegios root estan mas alla del ambito de este texto - consideramos que son o dependen del site y, en muchos casos, muy triviales
para merecer discutirse.
Queremos recalcar que no vamos a hacer una lista de bugs o agujeros de seguridad - siempre habra nuevos para que un "atacante" en potencia los
explote. El proposito de este texto es el de tratar de que el lector vea su sistema de una forma nueva/diferente - una forma que posiblemente le
permita tener la oportunidad de entender como su propio sistema puede estar comprometido, y como.
Tambien queremos reiterar que el proposito de este texto es el de enseñar al lector como testear la seguridad de su propio site, y no como irrumpir
en sistemas ajenos. Las tecnicas de intrusion ilustradas aquí dejaran muy a menudo huellas en los logs de tu sistema - seria constructivo examinarlos
despues de intentar alguno de estos ataques, para ver como seria un ataque verdadero. Ciertamente otros sites y administradores de sistemas
tomaran/haran una vision fugaz de tus actividades si es que decides usar sus hosts para hacer tests de seguridad sin autorizacion avanzada; de
hecho, es posible que se tomen medidas legales contra tu persona si lo perciben como un ataque.
Hay cuatro partes principales en este texto. La primera es la intoduccion y el overview. La segunda parte es un intento de dar a entender al lector lo
que es ser un intruso y como de no saber nada de un sistema pasar a comprobar su seguridad. Esta seccion revisa las tecnicas actuales de
obtencion de informacion y acceso, y cubre estrategias basicas tales como explotar y abusar de servicios basicos mal configrados (ftp, mail, tftp,
etc.). Tambien trata temas un poco mas avanzados, tales como NIS y NFS, asi
como bugs tipicos y problemas de configuracion en cierta forma mas especificos de los sitemas operativos o de los sistemas.
Tambien se cubre lo referente a estragegias defensivas contra cada uno de los diferentes ataques.
La tercera seccion trata sobre confianza: como la seguridad de un sistema depende de la integridad de otros sistemas. La
confianza es el tema mas complejo de este texto, y por ser breves limitaremos su discusion a "los
clientes ocultos" (si alguien ha entendido esto ultimo que me lo explique :)).
La cuarta seccion cubre los pasos basicos a seguir por un administrador de sistemas para proteger su sistema. La mayoria de los metodos presentados
aquí son meramente de sentido comun, pero son comunmente ignorados en la practica - una de nuestras metas es enseñar lo peligroso que es ignorar
estos metodos basicos de seguridad.
Estudios practicos, indicadores de informacion relacionada con la seguridad, y software son descritos en los apendices al final del
documento.
Mmmmh!, interesante. Quiero
seguir leyendo mas.
|