seguridad en internet
TRANSCRIPT
5/10/2018 Seguridad en Internet - slidepdf.com
http://slidepdf.com/reader/full/seguridad-en-internet-55a0befa2d475 1/120
ColombiaUnderground Team
Principios de seguridad en Internet
By: Flacman
1
5/10/2018 Seguridad en Internet - slidepdf.com
http://slidepdf.com/reader/full/seguridad-en-internet-55a0befa2d475 2/120
Contenido
Capitulo 1
(INTRODUCCION AL SUB-MUNDO)
1. Introducción
2. ¿Que son los Hackers?
2.1. ¿Cómo surgieron?
2.2. ¿Quienes son?
2.3. Carta de un Hacker
3. Etica Hacker
4. Monarquía Hacker
5. Phreaking
5.1. Historia del Phreaking
6. Crackers
6.1. Formas de Crashing
7. Copy Hackers
8. Newbies
9. La escoria de la red
9.1. Script Kiddies
9.2. Bucaneros
9.3. Lammers
10. Actividades en el submundo
10.1. Virii
10.2. Cryptografía
10.3. Programación
2
5/10/2018 Seguridad en Internet - slidepdf.com
http://slidepdf.com/reader/full/seguridad-en-internet-55a0befa2d475 3/120
10.4. Ingeniería social
10.5. Tunneling
10.6. Carding
11. Hackers famosos
11.1. Robert Morris
11.2. Steve Wozniak
11.3. Vladimir Levin
11.4. Genocide
11.5. Kevin Mitnick: el chacal de la red
11.6. Mafia Boy
Capitulo 2
(Métodos de ataque)
12. INTRODUCCION13. CRASHING
13.1. TIEMPO DE USO LIMITADO
13.2. CANTIDAD DE EJECUCIONES LIMITADAS
13.3. NÚMEROS DE SERIE
13.4. MENSAJES MOLESTOS Y NAGS
13.5. FUNCIONES DESHABILITADAS
13.6. CD-ROM13.7. ARCHIVOS LLAVE
14. VIRII O VIRUS
14.1. ¿QUÉ ES UN VIRUS?
14.2. ¿CÓMO SE CONSTRUYEN?
14.3. HISTORIA DE LOS VIRUS
14.4. TIPOS DE VIRUS
14.4.1. VIRUS DE BOOT
3
5/10/2018 Seguridad en Internet - slidepdf.com
http://slidepdf.com/reader/full/seguridad-en-internet-55a0befa2d475 4/120
14.4.2. VIRUS DE FICHERO
14.4.3. VIRUS DE SOBREESCRITURA
14.4.4. VIRUS DE COMPAÑIA
14.4.5. VIRUS COMPRESORES
14.4.6. VIRUS DE ENLACE DIRECTO
14.5. VIRUS FAMOSOS
14.6. CABALLOS DE TROYA O BACKDOORS
14.6.1. MEDIOS DE TRANSMICION
14.6.1.1. MENSAJES DE CORREO
14.6.1.2. TELNET
14.6.1.3. REDES COMPARTIDAS
14.6.1.4. OTROS SERVICIOS DE INTERNET
14.6.2. TROYANOS FAMOSOS
15. OCULTISMO DE VIRUS
15.1. TUNNELING
15.2. STEALTH
15.3. AUTO ENCRYPTACIÓN
15.4. MECANISMOS POLIFORMICOS
15.5. ARMOURING
16. PIRATERIA POR MAIL
16.1. SPAM MAILING
16.2. HOAXES
16.3. OBTENCION DE CONTRASEÑAS
17. CARDING
18. SNIFFERS y KEYLOGGERS
18.1. SNIFFERS
19. IP SPOOFING
20. D.o.S
20.1. CONSUMO DE ANCHO DE BANDA
20.2. ATAQUE DOS GENÉRICO
20.3. ATAQUES DNS
4
5/10/2018 Seguridad en Internet - slidepdf.com
http://slidepdf.com/reader/full/seguridad-en-internet-55a0befa2d475 5/120
20.4. DESBORDAMIENTO DEL BUFFER
21. TELNET
21.1. TELNET INVERSO
22. INGENIERIA SOCIAL
Capitulo 3
(Métodos de defensa)
23. INTRODUCCION
24. ANTIVIRUS
24.1. HEURISTICA Y FUNCIONAMIENTO DEL ANTIVISUS
24.2. SINTOMAS
24.3. LABORATORIOS DE ANTIVIRUS
25. FIREWALL26. PROXIES Y STEALTH
27. CYPTOLOGIA
28. FIRMAS Y PRIVASIDAD
29. CONCLUSIONES
30. BIBLIOGRAFÍA
31. GLOSARIO
5
5/10/2018 Seguridad en Internet - slidepdf.com
http://slidepdf.com/reader/full/seguridad-en-internet-55a0befa2d475 6/120
Capitulo 1
(INTRODUCCION AL SUB-MUNDO)
1. INTRODUCCION:
En la actualidad el tema sobre los “hackers” es muy común, podemos verlo en
revistas, periódicos, etc. ¿Pero los escritores saben en realidad quienes son?
El día lunes once de octubre de 2002 en el periódico El Tiempo, apareció unartículo sobre los hackers el cual los describía a ellos y sus actividades. Acá los
describían como piratas y ladrones de Internet, los cuales tenían un único
propósito, destruir. El nombre de los hackers en nuestra sociedad esta siendo
manchado por los medios de comunicación y por la falta de información de
ellos y de la sociedad. No pretendo defender a todas las personas que duran
días enteros frente a un computador, lo que quiero es destruir los argumentos
de los prejuiciosos reporteros y escritores sobre este tema.
Aunque no podemos decir que todas las personas que entran a la red tienen
buenos propósitos, tampoco podemos decir que todos son malos, existen
personas buenas, malas y los que pasan desapercibidos. Es un mundo muy
grande para poder generalizarlo todo como lo hacen los medios.
El principal objetivo de este proyecto es mostrar a los lectores los posiblesriesgos que pueden tener al estar frente a un ordenador y como defenderse de
ellos. Para conseguir esto, este trabajo se ha dividido en tres capítulos,
Introducción al submundo, reconocer el medio en el que navegamos y donde
habitan los mayores riesgos de Internet y conocer los diferentes tipos de
"razas" de personas con los que nos podemos topar en este submundo,
Métodos de ataque, Analizar los diferentes medios y amenazas que nos
rodean, y por último, Métodos de defensa, conocer las soluciones que nos
6
5/10/2018 Seguridad en Internet - slidepdf.com
http://slidepdf.com/reader/full/seguridad-en-internet-55a0befa2d475 7/120
ofrece Internet para defendernos de los problemas que se pueden encontrar, y
así no sufrir las molestias que nos proporciona Internet.
2. QUE SON LOS HACKERS:
2.1. COMO SURGIERON:
La palabra hacker se divide en tres partes: La más conocida es un sinónimo de
delincuentes informáticos, personas que tienen como único objetivo destruirtodo lo que se encuentre a su alcance. Para otras personas esta palabra es
sinónimo de inteligencia, de genios informáticos que duran días enteros frente
a un ordenador. Por ultimo está la verdadera historia de este termino, hace
mucho tiempo cuando se usaban ordenadores de gran tamaño y teléfonos
antiguos, se le llamaba a los técnicos de los sistemas hackers. Estas personas
para arreglar estos aparatos le proporcionaban un golpe a la maquina el cual
tomo el nombre de “hack”, o traducido al español “hachazo”, y era el métodoutilizado de arreglar un teléfono o una maquina.
Después, un grupo de estudiantes de la universidad MIT se nombraron
Hackers al poder construir una puerta trasera al ordenador principal, que les
permitió entrar desde sus habitaciones y así poder conseguir información y
trabajar en sus proyectos personales. Desde ese momento empezó la piratería
en la red, aunque estos estudiantes no tuvieran malas intenciones fueron juzgados y expulsados. Así se empezaron a crear grupos de hackers, pero no
todos eran malos, la mayoría de estos, los verdaderos hackers, solo querían
obtener información para poder ser calificados como los mejores en le tema, y
así sobresalir ante la sociedad hacker. 1
1Diario de un hacker. Confesiones de hackers adolescentes, Dan Verton Mc Graw Hill,
1999
7
5/10/2018 Seguridad en Internet - slidepdf.com
http://slidepdf.com/reader/full/seguridad-en-internet-55a0befa2d475 8/120
A diferencia de estos existían otros grupos de gente maliciosa que pretendían
infiltrarse en los computadores de otras compañías para sacar información y
venderla. Poco a poco los hackers fueron consiguiendo mala fama por culpa de
los verdaderos piratas de la red, los medios los juzgaban como un solo grupo
uniendo a los buenos con los malo, y así la nuestra sociedad se quedo con la
mala imagen de los hackers.
Por esta razón los verdaderos genios informáticos ahora intentan recuperar su
mala imagen, pero sin mucho éxito. Este es mi objetivo personal para proyecto,
limpiar su imagen. Aquí voy a informar a los lectores sobre los diferentes tipos
de aficionados a la informática, sus hazañas, sus técnicas, y lo más importante,
como defenderse de los enemigos de la red.
Para sustentar la idea de la corrupción del nombre “hacker”, se realizo una
encuesta que demuestra la influencia de los medios de comunicación en la
población. Le preguntamos ¿que es un hacker? A un variado grupo de
personas.
Ingeniero de sistemas:
El hacker hoy en día es un tipo muy inteligente, pero con las malas costumbres
de tratar de meterse en sistemas de otros en general con malas intenciones,
desde espiar tus archivos, hasta monitorear los passwords y logins, para
meterse en tus cuentas de banco, tarjetas de crédito, etc., es decir un
desgraciado.
Aficionado en computadores:
Yo creo que un hacker es una que usa los computadores para usar y crear
programas o encontrar errores en los programas entonces ellos pueden usarlos
8
5/10/2018 Seguridad en Internet - slidepdf.com
http://slidepdf.com/reader/full/seguridad-en-internet-55a0befa2d475 9/120
para propósitos que normalmente no se usan, algunas veces se usan para
explorar computadores, o ponerse alrededor de barreras de seguridad, o para
crear nuevos usos para estos programas y algunas veces sin el permiso de
estas personas que son dueñas de los programas.
Antiguo ingeniero de sistemas:
Un hacker es una persona q vive metiéndose en los computadores, es un tipo
muy bueno en el uso de los computadores y en informática, entiende todo loreferente a ello. Es buscado por empresas para que trabajen para ellos por que
es muy efectiva.
Ex-Hacker:
Es una persona que aprovecha errores de los sistemas, como los de Windows,
para hacer bien propio o comunal, informa de los errores y hay veces se metenen los sistema de forma ilegal.
Estudiante de ingeniería:
Los ladrones de Internet, se roban las contraseñas y roban a todo el mundo y
roban con los códigos de tarjeta de crédito de los demás, también se infiltra en
las redes para dañarlas.
Niño de doce años:
Ellos son unos duros en Internet, son unas personas muy inteligentes
manejando computadores. Lo único malo es que son malos y destruyen todo
metiéndole viruses a los computadores.
9
5/10/2018 Seguridad en Internet - slidepdf.com
http://slidepdf.com/reader/full/seguridad-en-internet-55a0befa2d475 10/120
2.2. ¿QUIENES SON?:
"Podríamos ser los chicos que le suministran la gasolina de su coche. Lo que
realmente tiene que saber es que nos diseminamos tan rápidamente como el conocimiento... a
la velocidad de la información" Genocide
Muchos piensan que ellos son personas que buscan agujeros de seguridad en
las redes, o son personas que busca sitios Web para infiltrarse y destruirlos, y
aun más, dicen que es una persona que vive metida en un computador todo el
día, viajando por un submundo lleno de información. Un hacker es una persona
normal, que tiene un sueño y un propósito como todos y este esta en la
investigación y en afán de superación en su medio. Estas personas
normalmente van en contra de cualquier interés económico o comercial y sus
creaciones son compartidas por la red de forma gratuita. Ellos escriben
documentos con el propósito de enseñar su cultura a cualquier persona
interesada en el tema de forma gratuita y se empeñan en ayudar a los nuevosa seguir su cultura. Los verdaderos hacker no son realmente malos, si, en
algunas ocasiones se infiltran en redes ajenas, pero tienen sus razones: la
primera es conseguir información con el objetivo de aprender y la segunda es
para descubrir fallas de seguridad en estos servidores ajenos y así darlas a
conocer para que el problema sea arreglado. Los propósitos de los hackers son
buenos, ellos principalmente se especializan en la programación y la seguridad
informática. Su afición a las matemáticas y a los computadores les impidenacercarse a un mal camino.
Otra gente también confunde a los hacker con nerds, un nerd es una persona
que es sobresaliente en algún área de la tecnología y que es socialmente
inepto. En su versión extrema a algunos Nerds se les pone el termino de
"muchos MIPS sin encendido(I)/apagado(O)" debido a que son muy brillantes,
pero incapaces de comunicarse con otros seres humanos. No confundir con el
10
5/10/2018 Seguridad en Internet - slidepdf.com
http://slidepdf.com/reader/full/seguridad-en-internet-55a0befa2d475 11/120
Hacker, pues aunque la falta de comunicación con el ser humano estándar les
ayuda concentrarse en su trabajo, el conocimiento técnico no necesariamente
significa falta habilidades sociales. Esto tampoco es un hacker, la mayoría de
ellos tienen novias y hasta algunos una vida social muy amplia, no niego que
existan hackers nerds, pero no obligatoriamente un hacker tiene que ser un
nerd.2
Durante la década de los 80 los mejores hackers hicieron posible lo que en la
década de los 90 se ha conocido como el 'boom de Internet'. Ellos fueron lo
que construyeron la WWW (World Wide Web), y crearon todos los protocolos y
las ordenes para que los ordenadores puedan continuar con sus acciones
rutinarias en la red. Pero no solo fue eso, ellos crearon las redes de las
universidades y las grandes compañías, y nos demostraron que en este mundo
no existe un computador o una red segura. Ellos hicieron lo que muchas
personas creían que era imposible, entrar en una computadora principal, y así
hicieron que las compañías se dieran cuenta de los riesgos que tenían al
instalar un computador en la red. Un hacker, en contra de lo que los medios
pueden dar a entender es una persona constructiva,
es un creador de alternativas. 3
2.3. CARTA DE UN HACKER
La siguiente carta fue escrita por un hacker a una editorial española para
mostrar su incomodidad hacia los medios y con el propósito de limpiar el
nombre de los hackers:
"Hola, soy Cybor. Probablemente no me conozcan. Tampoco pretendo salir en
la prensa. Eso no me importa, sin embargo si hay otras cosas que me interesan
más que mi identidad. Por ejemplo, me interesan las aperturas de sistemas
2
http://www.paralax.com.mx/antivirus/ar03-hackersyvirus.html3 http:// www.lycos.com/hacknova/foro.php
11
5/10/2018 Seguridad en Internet - slidepdf.com
http://slidepdf.com/reader/full/seguridad-en-internet-55a0befa2d475 12/120
cifrados. Pero eso es algo que nadie te enseña. Eso tienes que aprenderlo por
ti mismo. También me interesa que todos sepan quienes somos y que no
estamos solos en este peculiar mundo. Me interesa que sepan que no todos los
Hackers somos iguales. También me interesa saber que la palabra Hacker
tiene un significado muy curioso.
En un articulo reciente se publicó que se nos conocían como piratas
informáticos. Es probable, pero creo que están tremendamente equivocados.
Quiero reivindicar mi posición. Pero lo cierto es que cada vez que hablan de
nosotros es para decir que hemos reventado el ordenador de tal multinacional
con grandes perdidas o que hemos robado cierta información. Estas cosas
suceden, y particularmente tengo que decir que estas cosas están al alcance
de otros personajes más peligrosos que nosotros. En nuestro mundo habitan
los crackers y los phreakers. También están los snickers y cada uno de ellos
tiene su cometido, pero para la mayoría todos somos iguales y todos somos
piratas informáticos. Pero quiero ir por pasos. ¿ Que te parece saber de donde
procede la palabra Hacker?. En el origen de esta palabra esta el término Hack - algo así como golpear con un hacha en ingles -, que se usaba como forma
familiar para describir como los técnicos telefónicos arreglaban las cajas
defectuosas, asestándoles un golpe seco. También mucha gente arregla el
televisor dándole una palmada seca en el lateral. Quien hacia esto era un
hacker. Otra historia relata como los primeros ordenadores grandes y
defectuosos, se bloqueaban continuamente y fallaban. Los que las manejaban
se devanaban los sesos creando rutas para aumentar la velocidad y cosas parecidas. Estas cosas se denominaban Hacks y a los que lo hacían se les
llamaban Hackers. Otra denominación se le hacia a aquel experto en cualquier
campo que disfrutaba modificando el orden de funcionamiento del aparato. De
esta forma siempre superaba las limitaciones y esto le producía una alta
satisfacción. A estas personas también se les llamaban Hackers. Pero pronto
surgieron otros acrónimos como Crackers. Este acrónimo surgió allá por el año
1985, y fue inventado por los propios Hackers para diferenciar a aquel que
12
5/10/2018 Seguridad en Internet - slidepdf.com
http://slidepdf.com/reader/full/seguridad-en-internet-55a0befa2d475 13/120
fisgaba en un ordenador con aquel que creaba un virus dañino o copiaba un
software. Así, frente a un ordenador ajeno un Hacker y un Cracker no son la
misma cosa. Por otro lado en algunas ocasiones un Hacker es muy útil porque
siempre detecta un agujero en cualquier programa nuevo. Esto es bueno para
ponerlo en conocimiento de la empresa que ha creado el programa. El Cracker
aprovecharía este error para entrar en el programa y copiarlo.
Aparte del Cracking existen otras formas de vandalismo tecnológico. Así, el
Phreaking, por ejemplo es la manipulación de las redes telefónicas para no
pagar las llamadas. El Carding se refiere al uso ilegal de las tarjetas de crédito.
Y el Trashing consiste en rastrear la basura o residuos de los sistemas
informáticos en busca de información como contraseñas. Pero, volviendo a los
Hackers. ¿ Cómo son? ¿ Que aspecto tienen?. Cuando alguien oye mencionar
la palabra Hacker rápidamente se le viene a la cabeza un adolescente ojeroso,
con los ojos inyectados en sangre que ha pasado las ultimas 24 horas delante
del ordenador. Esta imagen esta estereotipada. No es así. Un Hacker puede
ser cualquier estudiante de informática, electrónica u otra persona, que sale con los amigos y que tiene novia. Un Hacker es una persona normal como tu.
Los Hackers son casi siempre gente joven. Quizás somos los que más nos
interesamos por la tecnología. Un Hacker normalmente despierta el gusanillo a
temprana edad. Y no se hace de la noche a la mañana. Cuando logra serlo
después de realizar un Hack, se busca un apodo y no da la cara por cuestión
de seguridad. La gente todavía no confía en nosotros y nos ven con ojos
malos. Normalmente al final de todo somos contratados por empresas importantes para ayudarles en su trabajo. Y otra cosa que hacemos es contar
como funciona la tecnología que se nos oculta. Este método se llama enseñar y
creo que no es nada malo. De modo que si un Hacker escribe un libro es
porque tiene algo que enseñar y nada mas. Bueno, creo que ya he escrito
bastante. Son las doce y media de la noche y mis padres ya se han acostado.
Mañana tengo que madrugar. Y sobre todo quiero que quede buena constancia
de lo que somos.
13
5/10/2018 Seguridad en Internet - slidepdf.com
http://slidepdf.com/reader/full/seguridad-en-internet-55a0befa2d475 14/120
Cybor, Bangor Diciembre del 96 Maine " 4
3. ETICA HACKER:
La mentalidad de hacker no sólo está en ésta cultura cibernética, existen
personas que aplican la actitud de hacker a otras cosas, como electrónica o
música. Los hackers informáticos reconocen estos espíritus emparentados y
los denominan “hackers” también y algunos sostienen que la naturaleza de
hacker no tiene nada que ver con el medio en el que actúan, sólo necesitan deese afán de superarse para ser mejores y así convertirse en hackers.
La mayoría de los hackers siguen una filosofía y una ética que es más o menos
parecida en todos ellos. Por mi experiencia en el mundo de los ordenadores he
elaborado unos principios que la mayoría de los hackers siguen. En el mundo
hacker la mayoría de las personas son maestros que desean inculcar su cultura
a las personas interesadas, y desean el libre acceso a la información, el acceso
a los ordenadores y todo lo que pueda inculcar alguna enseñanza sobre el
funcionamiento del mundo y de sí mismos, esta información debe ser ilimitada
y total.
A. Toda información debe ser libre. La falta de libertad en la información
y en las aplicaciones son un obstáculo más para la creatividad de
estos genios informáticos. Un ejemplo de esto es UNIX un sistema
Operativo de libre distribución, es el más usado por los hackers y al
mismo tiempo el más confiable por que lo han hecho ellos mismos
ayudados de otros hackers interesados.
4 http://www.elinflador.com.ar/hackercarta.html
14
5/10/2018 Seguridad en Internet - slidepdf.com
http://slidepdf.com/reader/full/seguridad-en-internet-55a0befa2d475 15/120
B. Desconfía de la autoridad, las autoridades promocionan la
descentralización. Los burócratas y las grandes empresas o entidades
gubernamentales que promocionan un sistema capitalista en la
sociedad informática. Ellos involucran algunas reglas que prohiben la
libre información y el intercambio de ideas. Esto, primero fomenta
errores en los archivos o sistemas ya que no cuentan con la ayuda
necesaria como en los programas de libre distribución, en los cuales
cualquier persona da ideas para mejorarlo. Y segundo da una mala
imagen a los hackers ya que su política es muy distinta a la política
capitalista y consumista de nuestra sociedad.
C. Los hackers deben ser juzgados por sus trabajos, no por criterios
irrelevantes como títulos, edad, raza, o posición. En el “submundo”,
como algunos lo llaman, las personas que se presentan con grandes
título y referencias impresionantes no son de mucha importancia, no
importa la identidad de la persona, lo único que importa para ser
catalogado como un buen hacker son sus logros y sus creaciones.D. Por último, aunque esta sociedad se pueda denominar anarquista en
algunos casos, ellos respetan las reglas de los demás. Aunque para
ellos las normas y las barreras les resulta una molestia, respetan la
forma de pensar de cualquier persona, y por eso cumplen sus reglas
cuando entran en propiedad ajena.
4. MONARQUIA HACKER:
Este “submundo” es una comunidad muy grande, que como todas las
comunidades y sociedades esta dividido en varios grupos. Existen los “gurús”
que comúnmente son personas con gran experiencia y son gente mayor, estas
personas son los maestros de los demás hackers y lammers. Es el maestro a
15
5/10/2018 Seguridad en Internet - slidepdf.com
http://slidepdf.com/reader/full/seguridad-en-internet-55a0befa2d475 16/120
quien recurre el Hacker cuando tienen algún problema, y se dice posee
conocimientos mas allá de la comprensión de un simple mortal. 5
Después de ellos siguen los hackers los cuales son muy apegados a los gurús,
la diferencia es que la mayoría de los hackers se especializan en un solo
campo como la programación, la cryptología, etc. Y en este mismo nivel
también se encuentran los phreakers, que son los especializados en líneas
telefónicas y redes de teléfonos.
Por ultimo están los newbies que son lo que quieren llegar a ser alguien en
esta sociedad. Esta es la monarquía del submundo, pero no todo acaba aquí,
también están los malos y los que creen estar en ella. En este grupo están los
lammers, los crackers, los script kiddies, los bucaneros, y los copy hackers.
5. PHREAKING
La tercera parte importante de este submundo son los phreakers, además de
los hackers y los crackers. Ellos son los crackers dedicados a la piratería de
telecomunicaciones, celulares, teléfonos, etc. Es el arte y la ciencia de irrumpir
la red de teléfono, la palabra phreaker viene de free (gratis) y hacker. 1. En un
tiempo el phreaking era una actividad semi-respetable entre hackers; había el
acuerdo de un caballero del phreaking como un juego intelectual y forma de
exploración era aceptable, pero el hurto serio de servicios era tabú. Había un
cruce significativo entre la comunidad de los hackers y los phreakers de
teléfono Quien manejaba redes semi-cubiertas de su propia creación con
medios tan legendarias como lo es el del GOLPECITO. Este ethos comenzó a
mediados de los años ochenta mientras que una difusión más amplia de las
técnicas se puso en las manos de los phreakers menos responsables.
5 http://www.paralax.com.mx/antivirus/ar03-hackersyvirus.html
16
5/10/2018 Seguridad en Internet - slidepdf.com
http://slidepdf.com/reader/full/seguridad-en-internet-55a0befa2d475 17/120
Alrededor de la misma época, los cambios en la red de teléfono había hecho a
la ingeniosa la técnica del viejo estilo menos eficaz como manera de cortar la
conexión, así que el phreaking vino a depender más de actos abiertamente
criminales tales como números de tarjetas telefónicas robadas. Los crímenes y
los castigos de cuadrillas, como el grupo "414" que ha vuelto este juego muy
feo. Lo más actual de lo que se ha oído hablar es de las cajas azules, o de
otros colores según su preferencia. 6
Estas cajas, como la caja azul, son el método de ataque más común de los
phreaker, ellas son usadas para cambiar la frecuencia de los teléfonos para
lograr diferentes objetivos. En la actualidad existen infinidad de cajas con sus
diferentes aplicaciones y métodos de uso.
5.1. HISTORIA DEL PHREAKING
El Phreaking empezó en los inicios de la década de los 60 cuando un tal Mark
Bernay descubrió como aprovechar un error de seguridad de Bell (compañía
telefónica fundada por Alexander Graham Bell). Este error se basaba en la
utilización de los mecanismos loop-arround-pairs como vía para realizar
llamadas gratuitas.
Lo que Bernay descubrió, fue que dentro de Bell existían unos números de
prueba que servían para que los operarios comprobaran las conexiones.
Estos números solían ser dos y consecutivos, y estaban enlazados de tal
manera que si se llamaba a uno este conectaba con el otro. Así pues si alguien
en EEUU marcaba una serie de estos números de prueba consecutivos podría
hablar gratuitamente.
6 http://catb.org/~esr/jargon/html/P/phreaking.html
17
5/10/2018 Seguridad en Internet - slidepdf.com
http://slidepdf.com/reader/full/seguridad-en-internet-55a0befa2d475 18/120
Este descubrimiento fue potenciado sobre todo por los jóvenes de aquel
entonces, los cuales solo lo utilizaban con el fin de ahorrase dinero a la hora de
hablar con sus amigos. Pero la cosa cambio cuando cierto número de estos
descubrió que Bell era un Universo sin explorar y al que se le podría sacar más
partido que el de unas simples llamadas gratuitas. Así pues de los
rudimentarios loop-arround-pairs se paso a la utilización de ciertos aparatos
electrónicos, los cuales son conocidos ahora como “boxes” (cajas). La primera
“box” que se encontró fue hallada en 1961 en el Washington State College, y
era un aparato con una carcasa metálica que estaba conectada al teléfono...
automáticamente fue llamada Blue Box (caja azul).7
Todo comenzó con esta falla de seguridad, y con la clásica "caja azul",
después de esto el phreaking fue evolucionando y destruyendo las fallas de
seguridad de los nuevos sistemas telefónicos. La mayoría de estas personas
operan es cabinas telefónicas por seguridad, pero otras se emprenden en la
aventura de realizar la piratería telefónica desde sus casas. Esta es una de las
formas mas avanzadas de pirateo, no existe algún tipo de seguridad no haya
sido explotado por los phreakers, y por eso uno de los métodos de piratería
mas conocido en el submundo.
6. CRACKERS
En esta comunidad tampoco hacen falta los “malos”, los Crackers, que muy a
menudo son confundidos con los hackers. La actividad cracker, o cracking, es
mejor conocida como ingeniería inversa, la ingeniería inversa esta basada en
quitar, remover o suspender uno o varios temas que protegen a alguna
aplicación que por lo general son comerciales. El cracking es la ciencia que
estudia la seguridad de sistemas de protección tanto de software como de
7 http://mundo-libre.org/phreaking/phreaking.htm
18
5/10/2018 Seguridad en Internet - slidepdf.com
http://slidepdf.com/reader/full/seguridad-en-internet-55a0befa2d475 19/120
hardware con el objetivo de violarlos. También Podemos definirlo de forma más
generalizada como la acción que consiste en la modificación total o parcial de
sistemas mediante alguna técnica específica. El principal objetivo de un cracker
es violar la seguridad de los sistemas, y la mayoría de veces con fines
maléficos, conseguir información y venderla, o usar los programas de otros de
forma no autorizada.
En la actualidad es habitual ver como se muestran los Cracks de la mayoría de
Software de forma gratuita a través de Internet. El motivo de que estos Cracks
formen parte de la red es por que los programadores o las empresas
comercializan sus productos en toda la red.
Un cracker se encarga de crear sus propios programas para burlar la seguridad
de páginas Web o aplicaciones, al igual que los hackers las publican en
Internet pero, con el objetivo de ser reconocidos por la sociedad, y también
apoyar la campaña de software libre. 8
6.1. FORMAS DE CRASHING
El crashing es la técnica que utilizan los crackers para irrumpir en la seguridad
de un programa. Sus principales hazañas se basan en esto, violar las distintas
formas de seguridad de los programas comerciales. Pero no solo se trata de
programas, el crashing es en si irrumpir en la seguridad de algo, bien pueden
ser paginas de Internet, sistemas remotos, servidores, etc. Este termino es
principalmente usado en el submundo, pero también se usas para otras
aplicaciones. Los ladrones de cajas fuertes, cuando irrumpen en ella se le
llama crashing, este es un ejemplo sencillo que sirve para explicar el uso de
esta palabra. Los crackers principalmente utilizan esta técnica para violar la
8 Morrison, William. Crackers on the web. Editorial gray star 1994
19
5/10/2018 Seguridad en Internet - slidepdf.com
http://slidepdf.com/reader/full/seguridad-en-internet-55a0befa2d475 20/120
seguridad de algunas cosas y utilizan técnicas diferentes que serán nombradas
en el segundo capitulo.9
Pero ellos no solo actúan con los programas y las páginas Web, la mayoría de
ellos se involucran con los ISP (los proveedores de servicio a Internet) como
las conexiones por cable o digitales. Su objetivo con esto es conseguir servicio
a Internet gratuito. También con la televisión por cable, ellos piratean la línea y
así consiguen gratis el servicio de televisión.
7. COPY HACKERS
El cuarto tipo de personas en la red son las que se denominan "copy hackers".
Estas son personas muy ligadas al hacking pero con la excepción de que solo
se interesan en el hardware y el cracking de hardware, mayoritariamente del
sector de tarjetas inteligentes empleadas en sistemas de telefonía celular.
Muchas personas confunden a estos como plagiadores que consiguen
programas hechos por otros y los venden como suyos. A este grupo se le
conoce como el cuarto eslabón de la red, después de los hackers, crackers y
los phreakers.10
8. NEWBIES
Los newbies son otra raza de personas que apenas están entrando en este
mundo, a ellos no se les puede nombrar como algo importante en la red, pero
ellos son el futuro de esta. Los newbies como ya lo dije antes son personas
nuevas en este mundo, lo que ellos quieren es aprender a ser hackers, a
igualarse a los grandes Gurus de la historia. Normalmente ellos no son el tipo
de personas que prueban cualquier aplicación sin saber, ellos primero leen y
aprenden la parte teórica para así poder continuar. Son personas muy
9 KRaViTZ , INTRODUCCION AL CRACKING
20
5/10/2018 Seguridad en Internet - slidepdf.com
http://slidepdf.com/reader/full/seguridad-en-internet-55a0befa2d475 21/120
dedicadas y con mucho empeño en lo que hacen. El problema de ellos es que
muchos se desvían y llegan a convertirse en lammers o crackers.
9. LA ESCORIA DE LA RED
Estos son los principales grupos de personas que se pueden encontrar en la
ciber sociedad. Cada uno tiene sus características y técnicas que los
diferencian, pero no son solo las técnicas lo que los diferencian, estas son las
personas que no son muy agradables y tampoco bienvenidas en el submundo.Existen 3 tipos de estas personas, los bucaneros, los script kiddies, y por ultimo
los lammers.
9.1. Script kiddies
Los script kiddies son aquellas personas que quieren conseguir
todos los programas y leer todos los artículos relacionados con elhacking o el cracking. Ellos utilizan estos programas con el
propósito de probar todo lo nuevo que ha salido en la red. El uso
inadecuado de estas herramientas puede causar daños
irreparables en la red o en los ordenadores de otros usuarios,
pueden llegar a soltar un virus en la red o dañarse a si mismos,
pero lo hacen inocentemente ya que no saben específicamente
para que sirven. Ellos también leen todo lo que se les pasa por los
ojos, normalmente no entienden lo que dice pero aun así los leen.
9.2. Bucaneros
Los bucaneros son las personas que no tienen ni idea de lo que
es el hacking o cualquier otro arte de la ciber sociedad, y la
10 http://www.umanizales.edu.co/encuentrohackers/m_copyhacker.htm
21
5/10/2018 Seguridad en Internet - slidepdf.com
http://slidepdf.com/reader/full/seguridad-en-internet-55a0befa2d475 22/120
mayoría no sabe como utiliza un computador, lo que ellos hacen
es vender información o programas hechos por hackers o
crackers.
9.3. Lammers
Por ultimo los lammers. Estos son los que más se escuchan y los
que más se ven ya que en él está el mayor número de personas.
Un Lammer es simple y sencillamente un tonto de la informática,una persona que se siente "Hacker" por haber bajado el troyano
de moda, alguien a quien le guste bajar virus de la red e
instalarlos en la PC de sus amigos. Por haber manejado un
programa de cracking creado por otros, el lammer ya piensa que
es un hacker experto, ellos solo le dicen a todas las personas que
son hackers y que son expertos en informática y divulgan sus
actos criminales por la red y con sus amigos. Ellos se crean su
propia fama y no tienen la menor idea de lo que es ser hacker.
Aunque tengan algún conocimiento sobre computadores ellos
más bien podría llamárseles como Crackers de pésima calidad.
En general alguien que cree que tiene muchos conocimientos de
informática y programación, pero en realidad no tiene ni la más
mínima idea de ello. 11
10. ACTIVIDADES EN EL SUBMUNDO
10.1. VIRII
Uno de los métodos más comunes de la piratería informática son los virus. Este
no tiene algún tipo de personas que se especifique en él, pero por lo general es
11 http://www.informaticahispana.com/~hackedplanet/def_lammer.htm
22
5/10/2018 Seguridad en Internet - slidepdf.com
http://slidepdf.com/reader/full/seguridad-en-internet-55a0befa2d475 23/120
estudiado por los hackers y los crackers. Ya muchos conocemos el término de
"virus" o "virii" pero no muchos sabemos lo que verdaderamente son. La
palabra "virus informático" viene de los virus biológicos que infectan a la
persona hasta acabarla. Los primeros virus se replicaban hasta sobre cargar el
sistema, así como los biológicos que se reproducen y poco a poco van
dañando el cuerpo humano. Un virus en simplemente un programa. Una
secuencia de instrucciones y rutinas creadas con el único objetivo de alterar el
correcto funcionamiento del sistema y, en la inmensa mayoría de los casos,
corromper o destruir parte o la totalidad de los datos almacenados en el disco.
De todas formas, dentro del término "virus informático" se suelen englobar
varios tipos de programas. Existen varios tipos de virus usados por los crackers
los cuales describiremos mas adelante.12
10.2. CRYPTOGRAFIA
La cryptografia es otra etapa de gran importancia usada por los hackers. Esto
consiste en cifrar un mensaje o un archivo en base a diferentes algoritmo para
hacerlo ilegible para otras personas, es el método usado para esconder
mensajes, o hasta señales de televisión. La cryptografia comenzó con los
espartanos en el año 400 a.C., la primera forma de clave para encubrir
mensajes secretos fue la Scitala, que puede considerarse el primer sistema de
cryptografía por transposición, es decir, que se caracteriza por enmascarar el
significado real de un texto alterando el orden de los signos que lo conforman.
Los militares de la ciudad griega escribían sus mensajes sobre una tela que
envolvía una vara. El mensaje sólo podía leerse cuando se enrollaba sobre un
bastón del mismo grosor, que poseía el destinatario lícito.
El método de la scitala era extremadamente sencillo, como también lo era el
que instituyó Julio César, basado en la sustitución de cada letra por la que
ocupa tres puestos más allá en el alfabeto.
12 http://www.monografias.com/trabajos/virus/virus.shtml
23
5/10/2018 Seguridad en Internet - slidepdf.com
http://slidepdf.com/reader/full/seguridad-en-internet-55a0befa2d475 24/120
En los escritos medievales sorprenden términos como Xilef o Thfpfklbctxx. Para
esconder sus nombres, los copistas empleaban el alfabeto zodiacal, formaban
anagramas alterando el orden de las letras (es el caso de Xilef, anagrama de
Félix) o recurrían a un método denominado fuga de vocales, en el que éstas se
sustituían por puntos o por consonantes arbitrarias (Thfpfklbctxx por
Theoflactus). 13
.
10.3. PROGRAMACION
Otra parte importante del hacking es la programación. El crear programas por
ellos mismos es muy importante para poder alcanzar sus exigencias. La
programación se ah hecho una de las ramas más importantes para los hackers,
ya que sus necesidades son muy amplias y las tienen que suplir de alguna
forma. La programación libre ah evolucionado el mundo de los computadores
ya que cada persona puede ser capaz de crear sus propios programas y así
cubrir las necesidades de todos con nuevas ideas. La primera forma de
programación fue en lenguaje binario o lenguaje de maquina, este lenguaje
consiste en 1 y 0 (prendido y apagado) para mandarle diferentes tipos de
voltaje a la maquina y así cumplir una orden.
Ahora con la creación de los lenguajes de programación, el programador puede
crear algoritmos más complejos y extensos por la facilidad de uso de estos.
Pero estos nuevos lenguajes de programación no son tan novedosos como
parecen ya que ellos utilizan un compilador que pasa las ordenes escritas a 0 y
1, para que el computador las pueda leer, en si la forma de programar un
sistema no se ha hecho un gran cambio, solo se facilito su usos para los
usuarios.
10.4. INGENIERIA SOCIAL
13http://rinconquevedo.iespana.es/rinconquevedo/Criptografia/clasicos.htm
24
5/10/2018 Seguridad en Internet - slidepdf.com
http://slidepdf.com/reader/full/seguridad-en-internet-55a0befa2d475 25/120
Este método es el único que no requiere específicamente de habilidades
informáticas. La ingeniería social es uno de los métodos más usados para
conseguir acceso a otros ordenadores o cuentas de correo electrónico. Este
método se encarga de engañar con artilugios o técnicas aparentemente
amigables a los usuarios y así conseguir su confianza para poder conseguir
información confidencial. La formas más segura y sencilla de hacer cracking es
esta, pues solo necesita de un poco de ingenio para que salga adelante esta
técnica.
10.5. TUNNELING
Otra técnica importante de este submundo es el tunneling, este es un método
de infiltración que sirve para infiltrar los virus a los ordenadores sin ser
detectados por el anti-virus u otro tipo de seguridad. El tunneling apunta a
proteger al virus de los módulos residentes de los anti-virus, que monitora todo
lo que sucede en la maquina para interceptar todas las actividades "típicas" de
los virus. Para entender como funciona esta técnica, basta saber como trabaja
este tipo de anti-virus. El modulo residente queda colgado de todas las
interrupciones usualmente usadas por los virus (INT 21, INT 13, y a veces INT
25 Y 26) y entonces cuando el virus intenta llamar a INT 21, por ejemplo, para
abrir un ejecutable para lectura/escritura (y luego infectarlo), el anti-virus chilla,
pues los ejecutables no son normalmente abiertos, ni menos para escritura.14
10.6. CARDING
14 http://www.geocities.com/SiliconValley/Sector/5353/textos.htm
25
5/10/2018 Seguridad en Internet - slidepdf.com
http://slidepdf.com/reader/full/seguridad-en-internet-55a0befa2d475 26/120
El carding es el único método de este submundo que no requiere
específicamente de un ordenador. Este método consiste en el robo de tarjetas
de crédito y otro tipo de "dinero plástico". El carding consiste en obtener y
manipular el uso legitimo de las tarjetas de crédito ajenas para conseguir el
dinero de una de estas tarjetas de crédito o cuentas bancarias ajenas, o tan
solo manipular sus números. Normalmente el cracker no dispone del dinero
ajeno con el que compra las cosas, sino lo que hace es comprar a través de
Internet y hacer que se lo envíen a una dirección cercana que no lo relacione
directamente con la compra (o por lo menos eso sería lo inteligente).
Básicamente es muy fácil lograr comprar con una tarjeta ajena por Internet
solamente hay que ser observador e intentar descifrar el sistema que se sigue
para generar los números de las tarjetas de crédito y te darás cuenta de que
cada tarjeta de cada banco obedecen a un algoritmo que puede facilitarte las
cosas de forma considerable una vez descifrado (lo cual no ofrece demasiada
dificultad ya que en la red encontraras miles de generadores de tarjetas de
crédito). Esta técnica esta muy ligada con el cracking, ya que utiliza alguna de
sus técnicas para conseguir los números de cuentas bancarias.15
11. HACKERS FAMOSOS
11.1. Robert Morris
El 2 de Noviembre de 1988 Robert Tappan Morris, hijo de uno de los
precursores de los virus y recién graduado en Computer Science en la
Universidad de Cornell, difundió un virus a través de ArpaNet, (precursora de
Internet) logrando infectar 6,000 servidores conectados a la red. La
propagación la realizó desde uno de los terminales del MIT (Instituto
Tecnológico de Massachusetts).
15 http://tatooine.fortunecity.com/tharg/95/hpvc.html
26
5/10/2018 Seguridad en Internet - slidepdf.com
http://slidepdf.com/reader/full/seguridad-en-internet-55a0befa2d475 27/120
Cabe mencionar que el ArpaNet empleaba el UNIX, como sistema operativo.
Robert Tappan Morris al ser descubierto, fue enjuiciado y condenado en la
corte de Syracuse, estado de Nueva York, a 4 años de prisión y el pago de
US $ 10,000 de multa, pena que fue conmutada a libertad bajo palabra y
condenado a cumplir 400 horas de trabajo comunitario.16
11.2. Steve Wozniak
Nació en agosto 22 de 1950Microcomputer for Use with Video Display
Personal Computer
Patent Number(s) 4,136,359
Inducted 2000
Ordenador personal de Apple II de Wozniak - introducido en 1977 y ofrecer una
unidad central de proceso (CPU), el teclado, la impulsión de diskette y una
etiqueta de precio $1.300 - lanzamiento ayudado la industria de loos
ordenadores. En el año de 1980, apenas los poco más de cuatro años después
de ser fundada, Apple se convirtió en un sistema público. El impacto de la
invención ayudo al lanzamiento de la industria de los ordenadores.
Biografía del inventor
Toda su vida, Steve Wozniak ah amado los proyectos que lo hacen pensar. En
el sexto grado, él construyó su propia estación de radio aficionada y ganó una
licencia de la jam' on radio. En la edad 13, él construyó su primera
computadora, y en la secundaria, él era presidente del club de la electrónica.
Después de graduar de la secundaria Homestead (California) en 1968,
Wozniak atendió a la universidad de California-Berkeley.a mediados de 1970 el
diseño chips de calculadora para Hewlett packard. Después en 1976, Wozniak
16 http://www.perantivirus.com/sosvirus/hacke rs/morris.htm
27
5/10/2018 Seguridad en Internet - slidepdf.com
http://slidepdf.com/reader/full/seguridad-en-internet-55a0befa2d475 28/120
y Steve jobs, también un graduado de la universidad de Homestead, fundaron
computadoras Apple, inc. con la computadora de Apple I. La compañía,
comenzada como operación de dos personas trabajando en un garaje, vino a
ser una compañía de $500-million-por año en seis años. Wozniak dejo Apple
en 1981, fue de nuevo a Berkeley y acabó su grado en ciencia eléctrica en
ingeniería y computación. Desde entonces, él ha estado implicado en vario
negocio y las empresas filantrópicas, centrándose sobre todo en capacidades
de la computadora en escuelas, incluyendo una iniciativa en 1990 para colocar
las computadoras en escuelas en la Union Sovietica. La creencia fuerte de
Wozniak en la educación lo ha incitado donar las computadoras e incluso los
laboratorios enteros de la computadora a las escuelas; los servidores y el
Internet tienen acceso a los estudiantes; computadoras portátiles para los
estudiantes y entrenamiento de computadores para los profesores y los
estudiantes. El tiempo de Wozniak ahora es dedicado sobre todo a sus propios
intereses. Su creencia en aprender con manos y en el pensamiento libre y la
creatividad que animan en jóvenes continúa siendo su fuerza impulsora.17
11.3. Vladimir Levin
Un graduado en matemáticas de la Universidad Tecnológica de San
Petesburgo, Rusia, fue acusado de ser la mente maestra de una serie de
fraudes tecnológicos que le permitieron a él y la banda que conformaba,
substraer más de 10 millones de dólares, de cuentas corporativas del Citybank.
En 1995 fue arrestado por la Interpol, en el aeropuerto de Heathrow, Inglaterra,
y luego extraditado a los Estados Unidos.
Las investigaciones establecieron que desde su computadora instalada en la
empresa AO Saturn, de San Petersburgo, donde trabajaba, Levin irrumpió en
las cuentas del Citybank de New York y transfirió los fondos a cuentas abiertas
en Finlandia, Israel y en el Bank of America de San Francisco.
17 http://www.invent.org/hall_of_fame/155.html
28
5/10/2018 Seguridad en Internet - slidepdf.com
http://slidepdf.com/reader/full/seguridad-en-internet-55a0befa2d475 29/120
Ante las evidencias y manifestaciones de sus co-inculpados, Vladimir Levin se
declaró culpable. Uno de sus cómplices, Alexei Lashmanov, de 28 años, en
Agosto de 1994 había hecho alarde entre sus conocidos, en San Petersburgo,
acerca de sus abultadas cuentas bancarias personales en Tel Aviv, Israel.
Estos conspiradores habían obtenido accesos no autorizados al Sistema de
Administración de Dinero en Efectivo del Citybank (The Citybank Cash
Management System), en Parsipanny, New Jersey, el cual permite a sus
clientes acceder a una red de computadoras y transferir fondos a cuentas de
otras instituciones financieras, habiendo realizado un total de 40 transferencias
ilegales de dinero.
Lashmanov admitió que él y sus cómplices había transferido dinero a cinco
cuentas en bancos de Tel Aviv. Incluso trató de retirar en una sola transacción
US $ 940,000 en efectivo de estas cuentas.
Otros tres cómplices, entre ellos una mujer, también se declararon culpables.
Esta última fue descubierta "in fragante" cuando intentaba retirar dinero de una
cuenta de un banco de San Francisco. Se estima en un total de 10.7 millones
de dólares el monto substraído por esta banda.
Las investigaciones y el proceso tuvieron muchas implicancias que no pudieron
ser aclaradas ni siquiera por los responsables de la seguridad del sistema de
Administración de Dinero en Efectivo, del propio Citybank. Jamás se descartó
la sospecha de participación de más de un empleado del propio banco.
A pesar de que la banda substrajo más de 10 millones de dólares al Citybank,
Levin fue sentenciado a 3 años de prisión y a pagar la suma de US $ 240,015 a
favor del Citybank, ya que las compañías de seguros habían cubierto los
montos de las corporaciones agraviadas.
Los técnicos tuvieron que mejorar sus sistemas de seguridad contra "crackers"
y Vladimir Levin ahora se encuentra en libertad.18
18 http://www.perantivirus.com/sosvirus/hackers/levin.htm
29
5/10/2018 Seguridad en Internet - slidepdf.com
http://slidepdf.com/reader/full/seguridad-en-internet-55a0befa2d475 30/120
11.4. Genocide
Todo empezó cuando él era joven, a diferencia de los demás hackers de la red,
él no disponía de un ordenador, ni siquiera de servicios públicos, y vivía en una
cabaña de madera de 6 por 6 en los bosques de Alaska. Genocide nunca
mostró interés por las materias que aprendía en la escuela, excepto por los
equipos informáticos. El se sentaba horas delante de los ordenadores de la
escuela y así consiguió gran habilidad para proporcionar caos en las redes de
su escuela. Dos años mas tarde su primo, un bandalo reconocido, le enseñoalgo de ingeniería social y phreaking, aunque dejó todo esto después de la
captura de su primo y sus amigos. Su primera hazaña como hacker fue en la
red escolar al cambiar sus notas de química. Cuando su mama empezó sus
clases universitarias, Genocide aprovechaba para instalarse en la red y así
aprender mas sobre ordenadores y conocer verdaderos hackers. Así se formo
un grupo de 5 amigos, WIZDom, Astroboy, Alexu, Malcom y Genocide que
como la mayoría de los hackers creían que la información debería ser libre para
el público. Así fundaron su primera comunidad a la que llamaron hacker
2600.Cuando su comunidad se hizo más grande cambiaron su nombre por
genocide2600, y la comunidad siguió creciendo hasta que la universidad local
les pidió que la retiraran de su red, pero ese no era problema para el, así que
decidió esconderla mucho más. Este grupo se volvió vital en el submundo ya
que tenia archivos y comandos que nadie tenia. Sus reuniones nocturnas
también continuaron, peor ahora con mas personas que asistían a ella, los
integrantes del grupo nunca discutían nada ilegal, ya que el grupo era muy
grande y las reuniones eran en las instalaciones de la universidad y con el
auspicio de esta. Hasta que un día un funcionario gubernamental llego hasta
esa reunión y acuso a Genocide por la intrución al servidor "luna". Mucho
después la universidad congeló la cuenta de Genocide mientras se hacia la
investigación de su caso, pero no había nada que lo pudiera relacionar con
esto. Desde ahí el grupo se empezó a derrumbar, pero todavía seguía en pie.
Genocide se fue a vivir a Oregon con un trabajo en seguridad informática, y el
30
5/10/2018 Seguridad en Internet - slidepdf.com
http://slidepdf.com/reader/full/seguridad-en-internet-55a0befa2d475 31/120
grupo creció mucho más, pero ahora con warez (copias ilegales de programas)
y números de serie. Así el FBI siguió tras la pista del, pero ahora con otra meta,
tenerlo de su lado. Genocide rechazo la oferta y siguió con su grupo hasta el
momento.19
11.5. Kevin Mitnick, El Chacal de la Red
Hijo de padres divorciados de clase media baja, Kevin Mitnick nació en 1965 en
Los Ángeles. Cuando tenía tan sólo 17 años dio su primer gran golpe como"phone phreaker" (hackers que atacan las redes telefónicas), cuando robó
manuales de la telefónica Pacific Bell y penetró en las redes de una empresa
llamada Microport Systems. Mitnick fue descubierto, juzgado y declarado
culpable, pero su corta edad impidió que termine en la cárcel.
En 1989 llegaron las primeras condenas efectivas por fraude informático. El
hacker fue obligado a pasar un año tras las rejas de una prisión de mínimaseguridad, luego de introducirse en las centrales de la telefónica MCI World
Com y obtener en forma ilegítima códigos para realizar llamadas de larga
distancia. Ese mismo año, la empresa Digital Equipment acusa Mitnick de
ocasionar daños en sus sistemas por una suma millonaria.
Mitnick salió en libertad, pero las cosas no cambiaron mucho. Durante los 5
años siguientes, Kevin se cansó de jugar al gato y al ratón con empresas,
policías, expertos en seguridad informática y hasta el propio FBI.
En noviembre de 1992, el FBI trató de detenerlo nuevamente por ingresar
ilegalmente en la computadora de una compañía telefónica, pero mediante una
espectacular fuga Mitnick logró escapar. Desde la clandestinidad, el pirata
19 Diario de un hacker. Confesiones de hackers adolescentes Dan Verton Mc
Graw Hill, 1999
31
5/10/2018 Seguridad en Internet - slidepdf.com
http://slidepdf.com/reader/full/seguridad-en-internet-55a0befa2d475 32/120
informático continuó invadiendo y hackeando todas las redes que encontraba a
su paso, mientras empresas de la talla de Sun Microsystems, Novell, y
Motorola, entre otras, acusaban al hacker fugitivo de causarles millones de
dólares en pérdidas.
El principio del fin
Dos años más tarde, Mitnick descubre que si consigue un método para hackear
redes telefónicas desde un teléfono celular sería prácticamente imposible
descubrirlo. Para obtener la información clasificada sobre cómo estabanmontadas las redes telefónicas inalámbricas, Mitnick invadió la computadora
personal de Tsutomu Shimomura, un especialista japonés en seguridad
informática que trabajaba para Netcom On-Line Communications Services.
Mitnick obtuvo la información y puso en ridículo a Shimomura frente a la
comunidad científica norteamericana. Aquel incidente hizo que Shimomura
tomara la captura del superhacker como una cuestión estrictamente personal.
El "hacker bueno" emprendió una cruzada para encontrar a Mitnick que incluyóvarios viajes por todo Estados Unidos. .
Finalmente, el 15 de febrero de 1995 y gracias a la dedicación personal de
Shimomura en la causa, el FBI logra apresar a Mitnick. A partir de ese día
Mitnick permaneció tras las rejas hasta hoy, día de su liberación. Durante su
estadía en prisión se forjó el mito de "Free Kevin", tanto en el underground
informático como en las tapas de periódicos como el New York Times.El polémico juicio
Aquellos que creyeron que con la captura de Mitnick se acabarían los dolores
de cabeza se equivocaron. El proceso de Mitnick estuvo plagado de polémicas
legales, empezando porque el hacker pasó encerrado más de cuatro años sin
pasar por un juicio ni recibir sentencia, lo que provocó la ira de la comunidad
hacker y de varias organizaciones defensoras de los derechos humanos.
32
5/10/2018 Seguridad en Internet - slidepdf.com
http://slidepdf.com/reader/full/seguridad-en-internet-55a0befa2d475 33/120
A mediados de 1999 Mitnick aceptó firmar un documento en el que se
declaraba culpable de los cargos de cracking (violación de redes informáticas)
reiterado. Mediante el acuerdo, firmado un mes antes del inicio del juicio,
Mitnick evitaba pasar por el banquillo de los acusados y aceptaba una
sentencia que le daría la libertad el año 2000.
La libertad
El 20 de diciembre de 200 y tras cinco años tras las rejas, Mitnick recuperó lalibertad pero no tenía permiso oficial para acercarse a un ordenador. El hacker
abandonó la prisión con los tapones de punta y ese mismo día emitió un
comunicado aseguró que "Los fiscales manipularon todo el juicio.
Con el tiempo., Mitnick obtuvo permiso para acercarse a un ordenador y hasta
para navegar por la Web. Para ese entonces, su fama había crecido tanto que
ese instante fue reproducido por varias cadenas de televisiónnorteamericanas.20
11.6. Mafia Boy
Un joven provocativo y travieso de catorce años que vivía en Montreal donde
se convirtió en un cracker informático. Su primer Ataque fue a una pequeña ISP
en estados unidos llamada outlawnet, y desde ahí mafia boy empezó a ser
investigado por las autoridades, pero este caso ya no era tan importante.
Liderando una larga investigación sobre ataques hacker a la OTAN, el FBI se
infiltro en el submundo. En una de sus búsquedas por hackers en una de las
salas de chat de IRC, Swallow, uno de los agentes infiltrados del FBI, se
encontró con un molesto chico que se apodaba Mafia Boy. Este chico parecía
20 _^SIAKO^_, El Chacal de la Red. www.elhacker.net
33
5/10/2018 Seguridad en Internet - slidepdf.com
http://slidepdf.com/reader/full/seguridad-en-internet-55a0befa2d475 34/120
un vulgar skript kiddie en la sala de chat, hasta que, después de cansarse de
las farsas de Mafia Boy, le propusieron un reto hacker, atacar a CNN, Yahoo y
a E-Trade. El agente del FBI se enteró de varios ataques hacker contra estas
empresas y emprendió su búsqueda para encontrar a Mafia Boy. Muchos
ataques hacker resultaron después de este que bloquearon a la mayoría de
empresas de Internet. Después de volverse a encontrar a mafia boy en una de
las salas de IRC, los federales se dieron cuenta que mafia boy no era un simple
lammer, él era un hacker. Los federales sospecharon de su ubicación en algún
lugar de Montreal, donde se dio inicio a una ardua investigación a la cual
llamaron operación "claymore". La primera pista que obtuvieron fueron tres
cuentas de correo electrónico con el nombre de Mafia Boy en los sistemas de
Delphi supernet y Totalnet. Los archivos del caso de Outlawnet, coincidían con
algunos de los ataques de Mafia Boy. La poca experiencia de Mafia Boy llevó a
los investigadores a seguirle la pista mas de cerca, el 15 de abril del 2000 los
federales hicieron una incursión a la casa de Mafia Boy donde fue arrestado.
En el juzgado Mafia Boy se declaro culpable y fue sentenciado a ocho meses
en la cárcel de menores y se le prohibió hablar por Internet y conseguir
programas no comerciales.21
21
Diario de un hacker. Confesiones de hackers adolescentes DanVerton Mc Graw Hill, 1999
34
5/10/2018 Seguridad en Internet - slidepdf.com
http://slidepdf.com/reader/full/seguridad-en-internet-55a0befa2d475 35/120
Capitulo 2
(Métodos de ataque)
12. INTRODUCCION
Los ataques en la red son muy comunes hoy en día, esto lo podemos ver con
la alteración de los muchos usuarios cuando llega un nuevo virus, o cuando
dicen que alguien esta atacando los sistemas de mensajería mas comunes(msn messenger y yahoo messenger). Mucha gente esta alerta de esto, y los
sistemas de protección siempre tienen que estar al tanto de la situación. Existe
mucha gente en la red que lo hace por ganar popularidad o solo con el objetivo
de molestar al amigo que les quito la novia, pero detrás de todo esto existen
otras razones, como el libre comercio y la libre difusión de la información. La
mayoría de loa crackers y hackers más populares siguen un movimiento
iniciado por los sistemas GNU, los cuales siguen una licencia llamada GPL(general public licence). Esta licencia es la licencia que manejan los creadores
de software gratuitos, con el fin de distribuir sus creaciones de forma gratuita,
como linux, UNIX y apple, en la red sin tener problemas. Para muchos esta
licencia se ha convertido en una ideología y una forma de vida que muchos
navegantes de la red siguen con pasión. Ellos desean la libre distribución de la
información, y la eliminación del comercio en Internet, por eso apoyan a los
creadores del software gratuito y se empeñan en derrochar a las grandesempresas que comercian con esta, como Microsoft. Esta "ideología" a llegado a
tal punto que formo a los hackers “malos”, con cierta perspectiva que con sus
habilidades en los ordenadores se empeñan en destruir a las compañías
comerciantes como Microsoft para que dejen los códigos de fuente de sus
programas de forma gratuita en la red, y así pueda ser modificada para
beneficio de ellos o los demás cibernautas. Como podemos ver para los
sistemas que siguen esta licencia los virus y las aplicaciones destructivas son
35
5/10/2018 Seguridad en Internet - slidepdf.com
http://slidepdf.com/reader/full/seguridad-en-internet-55a0befa2d475 36/120
muy pocas, pero para los sistemas comerciales existe una gran variedad de
aplicaciones dañinas, con el fin de convencer a estas grandes compañías de
distribuir sus creaciones de forma gratuita. La información es un derecho que
estas personas desean hacer cumplir. Otro ejemplo son los video juegos,
aproximadamente el 80% de estos se encuentran de forma gratuita en la red,
ya que los crackers han hecho vulnerables los sistemas de seguridad de estas
aplicaciones para que así puedan ser usados por todas las personas.
Estas protestas no solo se ven en la red, en estados unidos y en los países
más desarrollados se pueden ver constantemente huelgas en las calles para
que la información en la red sea libre. Los hackers difunden panfletos y crean
propaganda en distintos sitios populares. También muchas compañías como
linux apoyan este movimiento poniendo en su software propaganda para esta
causa.
13. CRASHING
Este termino viene de la palabra crash, es decir, estrellar en ingles.
Principalmente lo que pretende esta técnica es estrellar los sistemas de
seguridad de distintas aplicaciones para así poder ser accesibles por cualquier
usuario. Ya en el primer capitulo dimos un ejemplo de que es el crashing, y
ahora nos adentraremos en el tema. Principalmente lo que busca el cracker es
violar la seguridad de las aplicaciones e intenta violar diferentes tipos de
seguridad:
13.1. Tiempo de uso limitado:
El programa puede caducar después de un período de tiempo
determinado por el programador desde la fecha de instalación si no se
registra el programa. Se suele limitar a minutos, horas, días y meses.
Cualquier programa que use ese tipo de seguridad por lo general
guarda el registro de la hora de su creación en registros y algunos
36
5/10/2018 Seguridad en Internet - slidepdf.com
http://slidepdf.com/reader/full/seguridad-en-internet-55a0befa2d475 37/120
archivos del sistema. Un problema grande que tienen este tipo de
seguridad es que la fecha actual del sistema depende enteramente del
usuario, este puede tener control sobre la fecha del sistema y por lo
tanto se vuelve muy vulnerable el programa. Para esto se hizo un nuevo
método, usar la fecha de algunos registros del sistema, aunque esto
implica mas trabajo para los crackers, es muy vulnerable este tipo de
defensas.
13.2. Cantidad de ejecuciones limitadas:
El programa caduca luego de haberlo ejecutado una cantidad
determinada de veces después de su instalación si no se registra, este
registro muy probablemente es guardado en el registro del sistema.
13.3. Números de serie: .
Esto es lo más común encontrar, existen de dos tipos, números de serie
fijos o variables, éste ultimo se genera en la mayoría de los casos sobrela base de algo, como por ejemplo en función del nombre de usuario,
organización, etc. de esta manera se consigue un serial diferente y
único para cada cliente o usuario. Pero también se suelen generar en
función al nombre de la PC, del número de serie de disco o de algún
otro componente del equipo. Y por último tenemos los números
aleatorios, éstos son los más difíciles de crackear ya que dependen de
una clave o un algoritmo hecho por el creador del software, es este
caso el cracker tendría 2 retos, el primero es encontrar la clave, y el
segundo consiste en descifrar el algoritmo de cifrado.
13.4. Mensajes molestos y nags: .
Esto también es bastante común, son ventanas que pueden aparecer al
inicio del programa o al final, o en alguna acción por parte del usuario
en donde informa que se encuentra ante una copia no registrada o
37
5/10/2018 Seguridad en Internet - slidepdf.com
http://slidepdf.com/reader/full/seguridad-en-internet-55a0befa2d475 38/120
algún otro mensaje relacionado a la protección. Estos mensajes
desaparecen al registrar.
13.5. Funciones deshabilitadas: .
Esto le da a un shareware una esencia de que está ante un Demo pero
no lo es en absoluto, generalmente deshabilitan funciones importantes
de la aplicación, como por ejemplo: abrir, guardar, importar, exportar,
imprimir, grabar, etc. Cuando registramos se habilitan todas.
13.6. CD-ROM:
Esta es la más usada por los videos juegos. Debemos insertar el disco
para poder jugarlos. A veces hay juegos que están completamente
instalados en el disco rígido pero nada más por seguridad nos piden el
CD, otros realmente requieren archivos del mismo para su
funcionamiento. Este método puede funcionar de varias formas para
comprobar la presencia del cd. 1) comprobar la etiqueta del cd 2)comprobar el espacio libre que hay en este 3) comprobar algunos
archivos que son eliminados con frecuencia (por ejemplo en mitad de un
juego de puede eliminar un fichero que solo puede restaurarse con el
cd).
13.6.1. Protección contra la copia del CD
Estos métodos de protección son muy vistos, la idea de esto es
proteger de distintas formas los CD’s para que no puedan ser
copiados por los crackers, las formas más comunes son las
siguientes:
1) Deterioro del CD: Deteriorar físicamente el CD para que no pueda
ser copiado con claridad, la copia de estos sería muy difícil ya que
los mejores quemadores no son capaces de quemarlo con
38
5/10/2018 Seguridad en Internet - slidepdf.com
http://slidepdf.com/reader/full/seguridad-en-internet-55a0befa2d475 39/120
precisión, igual esto también implica un riesgo para los autores
del programa ya que es muy posible que los CD’s originales
presenten varias fallasa.
2) Archivos con tamaños falsos: Esta tecnica es muy util ya que
simula archivos muy grandes que al momento de ser copiados
genera errores por el tamaño tan grande del archivo falso.
3) Varios bloques de copiado: El formato ISO para la copia de CD’s
establece que estos solo deben ser creados en un mismo bloque,
por lo tanto cuando se intenta copiar un CD con varios bloques, el
programa de quemado generará errores.
4) Errores ficticios: Es posible que el software al ser quemado le
diga al quemador que este tiene varios errores “ficticios” como un
error de redundancia cíclica, y esto obligara al programa de
quemado a terminar su ejecución.
13.7. Archivos llave: .
Es algo parecido al anterior pero funcionan de muchas formas
diferentes dependiendo de las habilidades del programador.
Anti-herramientas cracking: .
Estas son muy efectivas si se utilizan técnicas novedosas o desconocidas para
los crackers. Se pueden aplicar anti-depurador, anti-desensamblador, anti-
monitores de registros o archivos, API, etc. También anti-modificación del
ejecutable que seria algo como anti-editores hexadecimales.22
Existen varias formas de hacer crashing en un software, como el simple hehco
de cambiar la hora del reloj del computador (en el ejemplo de tiempo de uso
22 KRaViTZ , INTRODUCCION AL CRACKING
39
5/10/2018 Seguridad en Internet - slidepdf.com
http://slidepdf.com/reader/full/seguridad-en-internet-55a0befa2d475 40/120
limitado), y como vemos, muchas de estas son muy sencillas, solo requieren de
un poco de ingenio para encontrar los bugs que tienen esta aplicaciones.
Ahora, para irrumpir en la seguridad de otros sistemas, paginas web, etc,
existen formas mas complejas, pero al mismo tiempo muy sencillas. Estas
"formas" son mas complejas de explicar y por eso van a ser mencionadas mas
adelante.
La mayoría de atackes que pueden ser usados en la red son formas de
crashing usadas para entrar en sistemas ajenos y así poder conseguir
información, o simplemente destruir un ordenador. Este segundo capitulo esta
dedicado a los posibles ataques que se pueden encontrar en internet, y en esto
podemos encontrar mas de una manera de hacer crashing en diferentes
formas.
14. VIRII O VIRUS
14.1. ¿QUÉ ES UN VIRUS?
El término "virus" se usa para llamar a programa de ordenador, generalmente
de autor anónimo, que lleva a cabo acciones que resultan nocivas para el
sistema informático y cuyo funcionamiento queda definido por las siguientes
propiedades.
Es capaz de generar copias de sí mismo de forma homogénea o en lugares
escondidos para el usuario común, en un fichero, disco u ordenador distinto al
que ocupa.
Modifica los programas ejecutables a los que se adhiere, o entre cuyas
instrucciones de código se introduce, consiguiendo así una ejecución
parasitaria. La ejecución parasitaria consiste en que el virus se ejecute de
forma involuntaria cuando se ejecute el programa que lo porta. Los programas
40
5/10/2018 Seguridad en Internet - slidepdf.com
http://slidepdf.com/reader/full/seguridad-en-internet-55a0befa2d475 41/120
portadores pueden ser de uso común del usuario o programas ejecutables del
sistema operativo.
El efecto que produce un virus puede comprender acciones tal como un simple
mensaje en la pantalla, la disminución de la velocidad de proceso del
ordenador. Pero todos los virus para lograr su funcionamiento tiene que ser
ejecutado, es decir que para que un programa de este tipo realice sus acciones
es necesario que se active. Por otro lado, debe permanecer en memoria para
poder obtener así el control permanente del ordenador.
Generalmente su funcionamiento esta comprendido en dos fases. Durante un
período el programa permanece oculto al usuario, en espera de una acción,
como la introducción de una cadena especial de caracteres por el teclado, una
fecha determinada, la ejecución de un programa especifico el cual lo porta o un
tope de autocopias del virus almacenado en un contador interno. En esta fase,
el programa realiza una acción de esparcimiento en el cual su objetivo principal
consiste en realizar el mayor número posible de copias de sí mismo, y así
cubriendo el mayor numero de fases del ordenador.
Una vez que el virus se ha reproducido, este realiza la acción nociva para la
que haya sido creado, completando así la segunda fase de funcionamiento.
Por último, cabe destacar que un virus se diseña intentando ocultar su
presencia ante el sistema y ante el usuario. Generalmente no es descubierto
hasta que surge un hecho anormal derivado de su ejecución que produce una
señal de alarma.
El "contagio" del virus se realiza de forma lógica a través de operaciones de
entrada y salida sobre soportes magnéticos o distintos puertos utilizados para
conectarse a la red, y así estando el programa contaminante en ejecución y
almacenado en la memoria. El origen de todo virus es lo que se llama un
"programa padre" desarrollado por un programador, encargado de iniciar el
esparcimiento del virus.
41
5/10/2018 Seguridad en Internet - slidepdf.com
http://slidepdf.com/reader/full/seguridad-en-internet-55a0befa2d475 42/120
Algunas personas tienen una clasificación de los virus dependiendo de la
accion por la cual han sido creados. Así han sido divididos estos programas en
benignos y malignos. En la subdivisión de los benignos estan incluyen
programas que no ejercen acciones destructivas sobre la información
almacenada en la memoria y los malignos son los que ejercen acciones
destructivas a la información.
Si se analiza un poco más con detalle el efecto de un virus, podemos deducir
que este factor de "benignidad" no existe, ya que si esta alterando la memoria.
Los virus "benignos" se almacenan en la memoria de tal forma que reducen elespacio operativo de esta, por otro lado, necesita del manejo de interrupciones
del sistema operativo para sacar el mensaje por la pantalla e influye sobre el
mecanismo de control del ordenador. La suma de estas acciones puede
generar una reducción de la velocidad de proceso en Hardware y un aumento
considerable en el tiempo de respuesta del ordenador. No hay virus que sea
benigno porque cualquier funcionamiento anormal del ordenador es un perjuicio
para el usuario.23
14.2. ¿CÓMO SE CONSTRUYEN?
Principalmente cualquier herramienta de programación es buena para hacer un
virus, sin embargo, por lo general los virus son de pequeño tamaño y tratan de
contener el máximo código en el mínimo espacio.
En general, la creación de un virus requiere el uso de detalles técnicos del
sistema operativo y de la máquina. Por último cabe destacar que la mayoría de
los virus existentes no están escritos a partir de cero, sino que son variaciones
de virus ya creados. Esto es debido a que es más fácil crear un virus a partir de
otro ya existente que partiendo desde cero. Además, es muy frecuente que
unos virus copien las técnicas que aparecen en otros.
42
5/10/2018 Seguridad en Internet - slidepdf.com
http://slidepdf.com/reader/full/seguridad-en-internet-55a0befa2d475 43/120
14.3. HISTORIA DE LOS VIRUS
El principio para descubrir el origen de los virus se encuentra en una serie de
articulos publicados en la revista americana "Scientific American", firmados por
A. K. Dewdney. El primero de la serie , fechado en mayo de 1984 se titulaba "El
juego de la guerra nuclear", y se trataba de 2 programas hostiles que
entablaban, sin ayuda externa, una lucha hasta la destruccion, solo podia
quedar uno, el nombre original de ese juego era "Core Wars" y es el
antepasado directo del "Red Code" y otros.
Dewdney no sabia el alcance que tendria su juego que rapidamente fue
utilizado como base para la creacion de otros basados en el, así poco a poco
se fue llegando a lo que se conocio como "virus informático" hasta el punto de
que es acusado de haber sido su precursor.
En 1989 Dewdney se defiende de las acusaciones con otro articulo en el cual
dice que con su transparencia informativa quiere estimular la investigación en
ese campo pero sin fines dañinos, presenta además una argumento de peso y
dice textualmente: "las descripciones de virus, incluso las más detalladas, no
pueden utilizarse en la construcción de un programa maligno excepto por un
experto. Una persona con conocimientos de ASM no necesita la lectura de un
articulo para crear un programa destructivo"
Después de sentar estas bases, y sin encontrar motivos para no hacerlo,
realiza una detallada explicación de los programas virus y se manifiesta de
acuerdo con las teorías de Cohen, referentes a la imposibilidad de crear un
programa que detecte todo tipo de virus (aunque en 1997 McAfee dice lo
contrario)
23 Sortilegio, Virus. www.elhacker.net
43
5/10/2018 Seguridad en Internet - slidepdf.com
http://slidepdf.com/reader/full/seguridad-en-internet-55a0befa2d475 44/120
En 1982 se creo el primer virus informático en una universidad de EstadosUnidos. Un estudiante creó un programa para un trabajo de la universidad el
cual se replicaba continuamente hasta un punto. Lo que el estudiante no sabia
era que el programa contenía un error, el bucle no paraba, y al ejecutarlo sobre
saturaba al ordenador. Este virus se difundió sobre toda la red de la
universidad de forma involuntaria y así bloqueo la mayoría de los ordenadores.
Los dueños de la universidad mantuvieron este suceso en secreto para no
perder prestigio, y hasta el alumno creador de este fue perdonado.
El primer contagio masivo de microordenadores se dio en 1987 a través del
MacMag virus también llamado Peace Virus sobre ordenadores Macintosh, la
historia según se cuenta fue así:
Dos programadores, uno de Montreal, Richard Brandow, y otro de Tucson,
Drew Davison, crearon un virus y lo incluyeron en un disco de juegos que
repartieron en una reunión de un club de usuarios. Uno de los asistentes, Marc
Canter, consultor de Aldus Corp., se trajo el disco a Chicago y contaminó su
ordenador. Al realizar pruebas del paquete Aldus Freehand contaminó el disco
maestro que posteriormente devolvió a la empresa fabricante, allí la epidemia
se extendió y el programa se comercializó con el virus incluido. El virus era
bastante benigno, el 2 de Marzo de 1988 (primer aniversario de la aparición de
Macintosh II) hizo público en la pantalla un mensaje pidiendo la paz entre lospueblos, y se destruyo a si mismo. Existe una versión de este virus que se
detectó en alguna red de correo electrónico de IBM y al que se denomina IBM
Christmas card o Xmas que felicita el 25 de Diciembre.24
14.4. TIPOS DE VIRUS
44
5/10/2018 Seguridad en Internet - slidepdf.com
http://slidepdf.com/reader/full/seguridad-en-internet-55a0befa2d475 45/120
14.4.1. VIRUS DE BOOT
Como su nombre indica, los virus de esta clase utilizan los sectores de
arranque y la tabla de partición para ejecutarse y tomar el control cada
vez que el ordenador arranque desde un disco contaminado.
Una vez el virus se encuentra en la memoria, el virus recibirá el control
del ordenador cada vez que alguien trate de leer o escribir en alguna de
las unidades. Cuando el sistema operativo detecta algún cambio de unaunidad de disco, siempre necesita leer el sector de arranque del disco
presente en la unidad para determinar las características del nuevo
disco. El sistema operativo suele utilizar los servicios de lectura del disco
para leer el sector arranque, el cual estará infectado por el virus. En
consecuencia, el virus es consciente de que quiere acceder al boot de
un disco, un sistema que posiblemente no esté infectado.
Cada vez que se produzca una solicitud de acceso a una unidad de
arranque del disco, el virus comprobará la letra de la unidad, para saber
si se trata de un disquete. Si no es una disquete, el virus cederá el
control a los servicios de discos originales, para que realicen su trabajo
normalmente. En caso contrario, el virus toma precauciones para que las
prestaciones del disco no desciendan. Si cada vez que se leyera un
sector cualquiera de un disquete, el virus comprobase si el sector boot
del mismo ya está contagiado, habría un gran aumento del número de
desplazamientos de las cabezas del disco y un gran descenso en las
prestaciones del sistema. El virus permanecerá inactivo hasta que pueda
llevar a cabo su tarea sin ser detectado.
Cuando el sector que se pretende leer es el lector boot de un disquete,
el virus entra en acción. El sector es leído en memoria, y antes de
24 http://www.siempreon.com/hack/Virus/VHisto/vhisto.html
45
5/10/2018 Seguridad en Internet - slidepdf.com
http://slidepdf.com/reader/full/seguridad-en-internet-55a0befa2d475 46/120
regresar al programa que ha realizado la solicitud de lectura, el virus
revisa la imagen del sector almacenada en memoria, para ver si el
disquete ya estaba infectado por él. Si lo estaba, el virus cederá el
control al programa y se retirará hasta la siguiente llamada.
En el caso de que el sector leído esté limpio, comenzará el proceso de
infección. Lo primero que hará, será buscar un sitio en el disquete para
guardar una copia del boot original. Otros lo guardan en la última
posición del disquete, destruyendo la información que estuviese
almacenada si el disquete está lleno.
Después de guardar el boot original, el virus escribe su código en el
sector boot del disquete preservando la información sobre la estructura
del mismo. Como esta escritura se produce inmediatamente después de
una lectura, el usuario no considerará anormal el encendido de la unidad
de disquete. Además el tiempo que tarda en escribirse en un sector del
diskete es mínimo.
14.4.2. VIRUS DE FICHERO
Los virus de esta clase, utilizan los ficheros ejecutables como medio de
transmitirse y tomar el control. Similarmente a lo que ocurre con los
sectores boot infectados, un fichero ejecutable (programa) infectado, es
completamente inofensivo mientras que no se active.
Lógicamente, los programas están para ser ejecutados, por lo que tarde
o temprano, entrará en funcionamiento.
Cuando se pone en marcha un programa infectado, las primeras
instrucciones que se ejecutan pertenecen al código del virus, por esto
quien toma el control del ordenador es el virus y no el programa.
46
5/10/2018 Seguridad en Internet - slidepdf.com
http://slidepdf.com/reader/full/seguridad-en-internet-55a0befa2d475 47/120
Una vez que el virus toma el control, pueden pasar numerosas cosas
dependiendo de las características de cada virus. Podemos decir que
existe dos vías de comportamiento dependiendo de si se trata de un
virus residente o de acción directa.
Virus de ficheros residentes: nada más tomar el control, el virus suele
comprobar si se dan las condiciones para ejecutar su rutina de ataque.
Si no ha llegado la hora de actuar, el virus reserva una pequeña porción
de la memoria para poder "residir". El número de bytes de memoria que
un virus residente necesita reservar está en función de su tamaño, queel la mayoría de los casos está en el rango de 200 a 5000 bytes. Una de
las formas de confirmar la presencia de un virus en un sistema consiste
en obtener un mapa de las asignaciones de memoria y comprobar que
todos los bloques reservados tengan un propietario conocido. Cuando el
virus ya está correctamente situado en memoria, con ciertos servicios
del sistema interceptado, sólo le queda poner en funcionamiento el
programa original para que la apariencia de normalidad sea absoluta. Esen este momento cuando empieza la segunda parte, la infección de
otros ficheros y en muchos casos el comienzo de una serie de
comportamientos extraños del ordenador como por ejemplo: caída de las
letras de la pantalla, sonidos, mensajes de error sin sentido,
desaparición de ficheros, etc. La gran mayoría de los virus residentes
infectan a otros programas en el momento en que son ejecutados o
copiados.Virus de fichero de acción directa: estos virus no permanecen en
memoria después de ser ejecutados y por tanto, tampoco interceptan los
servicios del sistema. Estos tipos de virus se ven obligados a replicarse
en el momento en que son ejecutados. Cuando se ejecuta un fichero
infectado por un virus de acción directa, el virus que lleva acoplado toma
el control. Lo primero que hace, es comprobar si se dan las condiciones
para activar su rutina de ataque. Si no se dan, el virus puede buscar
47
5/10/2018 Seguridad en Internet - slidepdf.com
http://slidepdf.com/reader/full/seguridad-en-internet-55a0befa2d475 48/120
víctimas para infectarlas. Al terminar su tarea de infección, el virus cede
el control al programa principal para que todo vuelva a parecer normal.
14.4.3. VIRUS DE SOBREESCRITURA
La característica principal de este tipo de virus, es que no respetan la
información contenida en los programas que son infectados, es decir,
que el programa que infectan queda inservible. Otra característica es
que al infectar un programa, éste nunca aumentará su tamaño a no serque el código del virus ocupe más bytes que el del programa infectado.
Aunque el programa original queda destruido, la copia del virus presente
en el programa funciona perfectamente. Cuando el programa sea
ejecutado, el virus se encargará de sacar un mensaje de error extraño,
por lo que no se puede ejecutar el programa original.
La única forma de desinfectar o limpiar un programa infectado por unvirus de sobre escritura es borrarlo, y sustituirlo por una copia original del
mismo.
14.4.4. VIRUS DE COMPAÑIA
Este tipo de virus, que pueden ser residentes o de acción directa,
aprovecha una característica del intérprete de manatos del DOS, por la
cual si en un mismo directorio coexisten un programa COM y otro EXE
con el mismo nombre, siempre será ejecutado en primer lugar el COM.
Las ventajas que aporta a un virus infectar programas de esta manera
son evidentes, ya que no tiene que modificar ni restaurar ningún dato del
programa original. Para desinfectar este tipo de virus, basta con borrar
48
5/10/2018 Seguridad en Internet - slidepdf.com
http://slidepdf.com/reader/full/seguridad-en-internet-55a0befa2d475 49/120
los programas ocultos donde se encuentra el virus y entonces los
programas originales quedarán libres de estos virus.
14.4.5. VIRUS COMPRESORES
Este tipo de virus, que pueden ser residentes o de acción directa,
comprimen los ficheros que infectan. Una consecuencia de que los
ficheros sean infectados de esta manera, es que a los programas
antivirus les será más difícil detectarlos.
14.4.6. VIRUS DE ENLACE DIRECTO
Los virus de este tipo, emplean una técnica muy sofisticada para
infectar ficheros. Cuando un virus infecta un fichero, cambia en la
entrada de directoria de ese fichero el campo o dato donde se indica
cual es el número del primer cluster del fichero por el número del primer
cluster del virus, almacenando en un área sin usar de la misma entrada
de directorio el número original.
Este tipo de virus, no se mueve de su posición en el disco y hace que
todos los programas infectados tengan como comienzo la misma copia
del virus.25
14.5. VIRUS FAMOSOS
-- En 1986, dos hermanos, Amjad y Basit Farooq Alvi, crearon lo que se cree
fue el primer virus de PC para infectar los discos blandos. Apodado el virus
"Pakistani Brain" (Cerebro Pakistaní), fue diseñado para promocionar su
compañía de software, Brain Computer Services, en Lahore, Pakistán.
49
5/10/2018 Seguridad en Internet - slidepdf.com
http://slidepdf.com/reader/full/seguridad-en-internet-55a0befa2d475 50/120
-- El primer gusano, un virus que se propaga a través de Internet, fue lanzado
el 2 de noviembre de 1988 por Robert Morris Jr., un graduado de la
Universidad de Cornell. El "Gusano Morris" aprovechó una falla en el sistema
operativo Unix y se propagó en cuestión de días a cerca de 6.000
computadoras centrales, o entre 5 y 10 por ciento del total de Internet en ese
momento. Morris, el hijo de un experto en seguridad informática en la Agencia
Nacional de Seguridad estadounidense, fue condenado por violar la Ley de
Abuso y Fraude Informático.
-- En 1989, un adolescente de Sofía, Bulgaria, lanzó el virus "Dark Avenger",
que destruyó datos y contenía referencias a letras de la banda de rock metálico
Iron Maiden. También creó el primer virus polimorfo, o que cambia de
características para evitar ser detectado.
-- Ching Ing-hau, un sargento del ejército taiwanés, creó el virus "Chernobyl",
también llamado CIH, en 1998. Fijado para activarse en el aniversario del
desastre nuclear de Chernobyl el 26 de abril, trataba de borrar el disco duro de
la computadora infectada. Los expertos dijeron que lo diseñó para vengarse de
la industria antivirus después de que el ejército fuera infectado por un virus.
-- En 1999, David Smith, de Nueva Jersey, creó el virus "Melissa", que se
propagó por correo electrónico e infectó los documentos de Word de Microsoft.
Smith tenía dos alias, "Vicodin" para su escritura del virus, y "Doug
Winterspoon" para cuando se hacía pasar por un legítimo experto en virus.
Smith no fue a la cárcel pero sigue prestando servicio comunitario.
-- El estudiante universitario filipino Onel de Guzmán lanzó el virus de E-mail
"IloveYou" o "LoveLetter" en el 2000. El virus engañaba a la gente para que
abriera un archivo adjunto enviado por correo electrónico e instalaba una
25 http://www.dragones.org/Biblioteca/Articulos/virus3.html
50
5/10/2018 Seguridad en Internet - slidepdf.com
http://slidepdf.com/reader/full/seguridad-en-internet-55a0befa2d475 51/120
especie de detector de tecleo para poder tener acceso a constraseñas en las
máquinas infectadas.
-- Jan De Wit, de Holanda, diseñó el virus "Anna Kournikova" en el 2001
usando el alias "On the Fly". El gusano embaucaba a los usuarios de E-mail
para que hicieran clic en el archivo adjunto que supuestamente tenía una foto
de la tenista rusa Kournikova. De Wit fue acusado de propagar datos a través
de redes de computadora con la intención de causar daño.
-- El gusano "Blaster" y el virus del correo electrónico "Sobig" inhabilitaron
computadoras y afectaron el tráfico de Internet en todo el planeta en agosto y
septiembre del 2003. Sobig.F se convirtió en uno de los virus más propagados
de la historia, incapacitando las redes corporativas de correo electrónico y
llenando las bandeja de entrada de las computadoras de los usuarios con un
exceso de mensajes antes de autoreproducirse y atacar a más víctimas
potenciales.
El gusano "Blaster" o "LovSan" se propagó aprovechando una falla de
seguridad de Windows.
-- "MyDoom" - también conocido como "Novarg" o "Shimgapi" se ha propagado
con rapidez, principalmente en Norteamérica, representado uno de cada nueve
mensajes a nivel mundial. El volumen de mensajes atascó las redes y pareció
concentrase en entornos corporativos. Posteriormente surgió una variante que
apunta al sitio de Internet de Microsoft Corp., dijeron el miércoles expertos de
seguridad. 26
14.6. CABALLOS DE TROYA O BACKDOORS
26 http://www.cnnenespanol.com/2004/tec/01/29/virus.famosos.reut/index.htm
51
5/10/2018 Seguridad en Internet - slidepdf.com
http://slidepdf.com/reader/full/seguridad-en-internet-55a0befa2d475 52/120
Había una vez un Fuerte impenetrable, las puertas cerradas con cerca de 100
vigilantes cada 10 metros, algo imposible de entrar. Pero los ingeniosos
soldados enemigo pensaron en un caballo de madera en donde meterían todos
los soldados, y les harían creer a los vigilantes que era un regalo para el rey,
bueno los vigilantes entraron el bonito caballo de madera y cuando estaba
adentro se bajaron 100 soldados del caballo y conquistaron el fuerte. Esa es la
historia de Troya, por eso se llaman troyanos.
Lo que quiere decir es que una maquina es impenetrable pero si nos metemos
haciendo le creer que es un regalo él lo aceptara y cuando el intruso esta
adentro abre la puerta y pudes entrar.
Los Troyanos Backdoor, han empezado a consolidarse como la temible nueva
generación de vandalismo cibernético, debido a su modalidad de incursión
ilegal en servidores u ordenadores, tomando el control de los sistemas
comprometidos, con los consiguientes daños que ello implica, nada menos que
a través de cualquiera de los 65536 puertos TCP/IP.
Los Troyanos Backdoor no son esencialmente virus, sino "Herramientas de
Control Remoto".
Aunque su existencia no es nueva, ya que desde hace mucho tiempo se
comercializan software legal para controlar redes LAN en forma remota, como
PC-Anywhere o Remote-Anything entre muchos otros, también se distribuyen
"Freeware" que cumplen similares cometidos.
A pesar que diariamente se propagan virus contenidos en archivos infectados
dentro de mensajes de correo, no son pocos los usuarios que motivados por el
desconocimiento, la curiosidad, o por no tener actualizados sus sistemas
operativos, navegadores, software de correo o antivirus, permiten que esta
modalidad todavía sea la más utilizada por los creadores de virus.
52
5/10/2018 Seguridad en Internet - slidepdf.com
http://slidepdf.com/reader/full/seguridad-en-internet-55a0befa2d475 53/120
En lo que va del año 2002 se han reportado una alarmante cantidad de
Troyanos/Backdoor y se estima que existen mas de 5,000 troyanos creados
desde 1997, los cuales pueden ser monitoreados y controlados a través de un
software Cliente asociado. En muchos portales de hackers se distribuyen estos
ilegales sistemas, incluyendo las potentes herramientas de "barrido" de puertos
TCP/IP que permiten detectar las "puertas traseras" abiertas, mediante las
cuales pueden ingresar uno de sus componentes.
Los Troyanos/Backdoor de acceso remoto tienen dos componentes principales:
el programa Servidor, que se instala en el sistema de la víctima y el programa
Cliente que actúa en el ordenador del atacante. Ambos programas establecen
una relación Cliente/Servidor entre el computador infectado y el del atacante.
Por medio de estos troyanos el atacante puede ejecutar remotamente en los
sistemas infectados las mismas acciones que el administrador de un Servidor o
usuarios de las PC involucradas.
Troyano/Backdoor Cliente
El Cliente se encuentra en el equipo del atacante y generalmente tiene una
interfaz con opciones y desde las cuales puede ejecutar las funciones que se
hayan programado para que interactúen con los sistemas de las víctimas.
Troyano/Backdoor Servidor
El Servidor que se instala en el sistema de la víctima, es un programa que
ocupa muy poco espacio y está asociado al Cliente, para poder recibir las
instrucciones o través del mismo, ejecutar las funciones que el intruso desee. 27
27 Christopher Klaus, Backdoors. 1997
53
5/10/2018 Seguridad en Internet - slidepdf.com
http://slidepdf.com/reader/full/seguridad-en-internet-55a0befa2d475 54/120
14.6.1. MEDIOS DE TRANSMICION
Los troyanos/Backdoor se pueden transmitir por diversos medios ya que la
seguridad de la Internet no tiene los medios para controlar estos ataques y
seguir funcionando, los métodos más comunes de intrusión de un Backdoor
son los siguientes:
14.6.1.1. MENSAJES DE CORREO
Son la forma más fácil de propagación por medio de un archivo anexado al
mensaje y si el receptor comete el error de ejecutarlo, instalará el Servidor,
permitiendo que el intruso pueda controlar el o los equipos infectados.
14.6.1.2. TELNET y SSH
Funcionan en modo Cliente/Servidor y permite ejecutar comandos en el equipoinfectado.
Telnet es un programa de emulación de terminal para las redes TCP/IP. Opera
en una computadora y la conecta con un servidor de la red. A partir de ese
instante, un usuario puede ingresar comandos a través del programa Telnet y
cada instrucción será ejecutada como si la hubiera ingresado directamente en
la consola del servidor o el equipo asignado.
14.6.1.3. REDES COMPARTIDAS
Las redes compartidas, mas precisamente las redes p2p, son un riesgo en
potencia para la difusión de virus, estas redes permiten todo tipo de archivos,
por lo tanto es muy posible encontrar virus. Redes como Kazaa, E-mule, E-
donkey, Ares, son redes que tienen un riesgo potencial.
54
5/10/2018 Seguridad en Internet - slidepdf.com
http://slidepdf.com/reader/full/seguridad-en-internet-55a0befa2d475 55/120
Ejemplo típico de intrusión a la red Kazaa a través de Telnet:
telnet 1214GET / HTTP/1.0
HTTP/1.1 200 OK
Content-Length: 2467
Accept-Ranges: bytes
Date: Tue, 20 Aug 2002 14:14:36 GMT
Server: KazaaClient Aug 20 2002 17:18:29
Connection: close
Last-Modified: Sun, 30 Jun 2002 14:14:36 GMT
X-Kazaa-Username:
X-Kazaa-Network: MusicCity
X-Kazaa-IP: 200.44.XX.XXX:1214
X-Kazaa-SupernodeIP: 24.168.48.42:1214
Content-Type: text/html
14.6.1.4. Otros servicios de Internet
(HTTP, FTP, ICQ, Chat, Mensajería Instantánea)
Es posible visitar una página Web en Internet, la misma que descargue
automáticamente un troyano Backdoor Servidor y el sistema quedará infectado,
bajo control del troyano Cliente. Del mismo modo podrá ocurrir en servidores
FTP. Por lo general estos servidores, al ser reportados, serán deshabilitados
por su ISP, en caso contrario el Proveedor de Servicios de Internet será
merecedor a una sanción.
La popularidad del uso del Chat o de los servicios de Mensajería Instantánea,
como MSN Messenger, Yahoo Messenger, Netscape o AOL Messenger, entre
55
5/10/2018 Seguridad en Internet - slidepdf.com
http://slidepdf.com/reader/full/seguridad-en-internet-55a0befa2d475 56/120
otros, han hecho posible la transmisión de virus, macro virus, gusanos,
troyanos y Backdoors, entre los usuarios conectados en una misma sesión.
Usuarios de una misma red local o por medio de disquetes o cd's.28
14.7. TROYANOS FAMOSOS
Back Orifice: Este troyano mejor conocido como BO, es uno de los troyanos
más populares distribuidos en la red, y de los mas usados por los antiguoslammers y script kiddies. BO fue creada como una herramienta de
administración remota para sistemas operativos Windows 9x. Esta herramienta
fue presentada en 1998 a la convención de hackers "Black Hat". Esta
herramienta permite el re inicio de un sistema remoto, tiene la capacidad de
añadir y borrar claves del registro, enviar y recibir archivos, ver contraseñas
ocultas y crear cuentas de archivos.
Net Bus: Este troyano fue creado por Carl-Frederic Neikter en 1998. Esta
herramienta es muy parecida al BO, pero contiene un interfaz gráfico mas
sofisticado, al igual que sus herramientas. La diferencia entre estos dos reside
en que el Net Bus utiliza TCP y el BO UDP para conectarse al sistema remoto.
SubSeven: Está programado en Borland Delphi. Compromete la seguridad del
sistema infectado, al habilitar una puerta trasera por la que un atacante puede
tomar el control de la computadora de su víctima. Esta versión utiliza por
defecto el puerto TCP/11142. Cuando se ejecuta, generalmente engañando al
usuario y disfrazado en alguna supuesta herramienta, se copia a sí mismo en el
directorio de Windows. Este es el troyano más famoso, su primera versión
publica se desarrollo en 1997.29
28 Christopher Klaus, Backdoors. 199729
Diario de un hacker. Confesiones de hackers adolescentes DanVerton Mc Graw Hill, 1999
56
5/10/2018 Seguridad en Internet - slidepdf.com
http://slidepdf.com/reader/full/seguridad-en-internet-55a0befa2d475 57/120
15. OCULTISMO DE VIRUS
El Antivirus, para muchos hackers llamado el segundo enemigo natural,
después del firewall, es la amenaza de la vida del virus dándose cuenta de la
presencia del virus y avisando al usuario al mismo tiempo que es borrado del
ordenador. Por esto lo crackers inventaron distintas técnicas para poder
engañar a los antivirus y así poder continuar con sus maléficos planes. En
1997, la compañía McAfee virus scan, al ver el "spam" de virus que sedifundían en la red invento un sistema de eliminación: El antivirus. Un año mas
tarde los crackers del mundo vieron la amenaza de estos antivirus hacia sus
creaciones y por eso, desde ese momento, se emprendieron en la tarea de
crear métodos de violación a estos. Principalmente se crearon 5 técnicas, que
aun siguen siendo las más populares para el uso de los crackers:
Técnicas de auto encriptación, Mecanismos Polimorfos, Armouring, Stealth y la
más importante, el Tunneling.
15.1. TUNNELING
Para entender como funciona esta técnica, basta saber como trabaja
este tipo de antivirus. Él módulo residente queda colgado de todas las
interrupciones usualmente usadas por los virus (INT 21, INT 13, a veces
INT 25 Y 26) por eso cuando el virus intenta llamar a INT 21, por
ejemplo, para abrir un ejecutable para lectura/escritura, y luego
infectarlo, él antivirus produce una alarma, pues los ejecutables no son
normalmente abiertos para escritura. Y así con todas las llamadas
típicas de los virus. En cambio, cuando se hace una llamada común y
corriente, el antivirus no se alarma y la deja pasar, llamando a la INT 21
original. Un virus con tunneling, entonces, antes de llamar a ninguna
función ni hacer nada, intenta obtener la dirección absoluta de este INT
21 original, que esta en alguna parte de la memoria del antivirus
57
5/10/2018 Seguridad en Internet - slidepdf.com
http://slidepdf.com/reader/full/seguridad-en-internet-55a0befa2d475 58/120
residente. Una vez que obtiene esta dirección, accede al DOS por medio
del, sin llamar al antivirus. Y así, efectivamente, pasa por debajo, lo
"tuneléa". ¿Cómo se hace esto?
Existen dos formas fundamentales de obtener esta dirección. La primera,
y la mas usada, es utilizando la interrupción de trace (INT 1) y la trap
flag. Que son usadas por los DEBUGGERS para atravesar el código
orden a orden hasta hallar lo que se busca. La segunda, es hacer un
simple scanning del código, byte a byte, hasta hallar la dirección.
La primera forma de tunneling es usada por todos los virus que usan
esta técnica, como por ejemplo, el Predator II o el Yankee Doodle. La
segunda no se usa en ningún virus, pero es la que usa Kohntark en su
celebre Kohntark Recursive Tunneling Toolkit.30
15.2. STEALTH
Un virus "Stealth" es aquel que cuando está activado esconde las
modificaciones hechas a los archivos o al sector de arranque que al que
está infectado. Esta técnica hace uso de todos los medios posibles para
que la presencia del virus pase totalmente desapercibida, anulan efectos
tales como el tamaño de los archivos, los cambios de la fecha, hora o
atributo, hasta el decremento de la memoria RAM.
Un ejemplo simple lo constituye uno de los primeros virus de nombre (c)
Brain que infectaba el sector de arranque, monitoreando los I/O (entrada
y salida) y re direccionando cualquier intento de lectura de este sector
infectado.
30 http://deco-hack.iespana.es/deco-hack/manuales/Tunneling.txt
58
5/10/2018 Seguridad en Internet - slidepdf.com
http://slidepdf.com/reader/full/seguridad-en-internet-55a0befa2d475 59/120
Cuando un virus "Stealth" está activo en memoria cualquiera de estos
cambios pasarán desapercibidos al realizar un DIR, por ejemplo, ya que
el virus habrá tomado control de todo el sistema.
Sin embargo, si se arranca el equipo desde un disquete de sistema
limpio de virus y con la protección contra escritura, al efectuar la misma
orden DIR se detectarán los cambios causados a los archivos
infectados.
Un virus de boot programado con esta técnica reemplaza perfectamente
al verdadero sector de arranque, que tiene apenas 512 bytes y al cual
mueve hacia otro lugar del disco pero que con una instrucción de salto
vuelve otra vez a utilizarlo.
Hoy día es posible crear virus con la técnica Stealth, en cualquier
lenguaje de programación, además del Assembler o por medio de los
Generadores Automáticos de Virus, Gusanos y Troyanos que se
difunden en muchos portales denominados "Underground".31
15.3. AUTO ENCRYPTACIÓN
Esta técnica muy utilizada, consigue que el virus se encripte de manera
diferente cada vez que se infecta el fichero, para intentar pasar
desapercibido ante los antivirus. 32
15.4. MECANISMOS POLIFORMICOS
Es una técnica para impedir ser detectados, es la de variar el método de
encriptación de copia en copia. Esto obliga a los antivirus a usar técnicas
31 http://www.perantivirus.com/sosvirus/general/stealth.htm
59
5/10/2018 Seguridad en Internet - slidepdf.com
http://slidepdf.com/reader/full/seguridad-en-internet-55a0befa2d475 60/120
heurísticas ya que como el virus cambia en cada infección es imposible
localizarlo buscándolo por cadenas de código. Esto se consigue
utilizando un algoritmo de encriptación que pone las cosas muy difíciles
a los antivirus. No obstante no se puede codificar todo el código del
virus, siempre debe quedar una parte sin mutar que toma el control y esa
es la parte más vulnerable al antivirus.
La forma más utilizada para la codificación es la operación lógica XOR.
Esto es debido que esta operación es reversible:
2 XOR 5 = 3
3 XOR 2 = 5
En este caso la clave es el número 9, pero utilizando una clave distinta
en cada infección se obtiene una codificación también distinta.
Otra forma también muy utilizada consiste en sumar un numero fijo a
cada byte del código vírico.33
15.5. ARMOURING
Mediante esta técnica el virus impide que se examinen los archivos que
él mismo ha infectado. Para conocer más datos sobre cada uno de ellos,
éstos deben ser abiertos (para su estudio) como ficheros que son,
utilizando programas especiales (Debuger) que permiten descubrir cada
una de las líneas del código (lenguaje de programación en el que están
escritos). Pues bien, en un virus que utilice la técnica de Armouring no
se podrá leer el código. 34
32 http://www.zonavirus.com/Tecnicas/Tecnicas_de_autoencriptación.asp33
http://www.zonavirus.com/Tecnicas/Mecanismos_Polimorficos.asp
34 http://www.zonavirus.com/Tecnicas/Armouring.asp
60
5/10/2018 Seguridad en Internet - slidepdf.com
http://slidepdf.com/reader/full/seguridad-en-internet-55a0befa2d475 61/120
16. PIRATERIA POR MAIL
No sé en realidad que pretenden las compañías o la gente al mandar un mismo
E-mail a distintas direcciones, tal vez propaganda o informar a la gente. Un
usuario de Internet común como muchos han recibido algún E-mail con
propaganda de un producto, así sea algún método de cómo ahorrar dinero,
algún producto para la casa o pornografía. Estos mensajes son
verdaderamente molestos ya que nos quita tiempo al para ver si es de algunapersona importante o con el solo hecho de borrarlos, también estos saturan
nuestro espacio de correo electrónico impidiendo que nos llegue alguna
información importante. Para dicha de todos ustedes, estas acciones son
ilegales y se llaman "mail spaming". El mail spaming es el envío masivo de
correos electrónicos con alguna propaganda o algún virus, en esta categoría
también entran las cadenas de correo electrónico que nos mandan nuestros
compañeros o conocidos.
Los antivirus y los clientes de correo intentan hacer lo posible por evitar esto
con una técnica llamada control de flujo de spam, o filtros de spam. Lo que
hace esta técnica es redireccionar estos correos a una carpeta especifica, y
algunos solo borran el correo que acabo de llegar. ¿Pero como pueden
distinguir un spam de un E-mail verdadero? Esto no es tan fácil, y nadie ha
podido encontrar una cura a este problema, pero si existe una técnica que
elimina la mayoría de estos. Los servidores de E-mail hacen una recopilación
de las características más importantes de los spam mails y los bloquean.
Aunque esta técnica no es totalmente efectiva contra todos los spam, y hay
veces que hasta bloquean E-mails importantes, es lo más efectivo para librarse
de estos molestos mensajes y de los virus que rondan por los E-mails. Esta
sección esta dedicada a explicar mas a fondo lo que en realidad son estos.
61
5/10/2018 Seguridad en Internet - slidepdf.com
http://slidepdf.com/reader/full/seguridad-en-internet-55a0befa2d475 62/120
La idea del sabotaje en servidores de E-mail surgió cuando un cracker creo una
aplicación para enviar múltiples correos con una dirección anónima y así
saturar la cuenta de correo de su víctima, esta aplicación fue llamada mail
bomber, que después fue publicado en la red para el uso común de este, aquí
fue cuando se creo el primer programa de spaming. Un mail bomber es un
programa para enviar a una cuenta de correo electrónico una cantidad de
mails determinada para saturar la cuenta o simplemente para enviar algunos
que se tome el trabajo de borrarlos. Generalmente fue creado en Visual Basic
6, con 10 winsocks (sockets de Windows) que sirven para establecer
conexiones a servidores usando Windows, que en este caso se utilizan para
conectarse a distintos servidores de mails SMTP (simple mail trasnsfer
protocol) .
16.1. SPAM MAILING
Originalmente 'Spam' se llamo al jamón con especias (Spiced Ham) producidopor Hormel en 1926 como el primer producto de carne enlatada que no
requería refrigeración. Esta característica hacia que estuviera en todas partes,
incluyendo en los ejércitos americanos y rusos de la segunda guerra mundial.
Se llama spam a la práctica de enviar indiscriminadamente mensajes de correo
electrónico no solicitados. Generalmente, se trata de publicidad de productos,
servicios o de páginas Web.
Actualmente, se calcula que el 30% de los mails (unos 500 millones de mails
por día) que se envían son no solicitados, o sea, spam. Esto quiere decir que
en el momento en que estás leyendo este artículo se están enviando varios
millones de mails no solicitados.
El spam es perjudicial para todos, hasta para la empresa que lo envía.Por lo
general, las direcciones son robadas o compradas.
62
5/10/2018 Seguridad en Internet - slidepdf.com
http://slidepdf.com/reader/full/seguridad-en-internet-55a0befa2d475 63/120
Esta gente aclara, con gran dignidad, que no copia ni vende software. También
ponen en sus mensajes (que dicho sea de paso son spam porque yo no los
solicité) "no compre bases truchas" "todas nuestras bases cuentan con
direcciones reales y activas".
Aunque hay algunos spammers que envían solamente un mensaje, también
hay muchos que te bombardean todas las semanas con el mismo mensaje con
archivos adjuntos sobre la necesidad de filtrar el agua de la ducha con un
análisis de varias páginas, que nadie lee. De todos modos, si cada persona que
abre una página web te va a enviar un mail, el correo electrónico sería
absolutamente inservible.
Tampoco es agradable que envíen un mensaje en formato HTML
promocionando un nuevo servicio de distribución de videos, exclusivo para la
ciudad de Medellin, cuando el usuario vive a miles de kilómetros de distancia.
Esto, además de ofrecer una imagen negativa sobre la empresa que envía el
spam, muestra la poca utilidad de las bases de datos compradas.
Por otro lado los spammers invocan una supuesta ley por la cual el mensaje
que están enviando no puede ser considerado spam si tiene una forma de ser
removido.
Esto es una gran mentira. Esa ley no existe. Además, la mayoría de las veces
si uno contesta el mail pidiendo ser removido de la lista, lo único que hace es
confirmar que su dirección existe. Por lo tanto, es conveniente no responder
nunca a un mensaje no solicitado. Lo mejor es aplicar filtros o reglas de
mensaje para evitar recibir mensajes de esas direcciones. Otra opción muy
buena, es quejarse al postmaster del que envía el spam.
16.2. HOAXES
63
5/10/2018 Seguridad en Internet - slidepdf.com
http://slidepdf.com/reader/full/seguridad-en-internet-55a0befa2d475 64/120
Los hoaxes (broma, engaño) son mensajes de correo electrónico engañosos
que se distribuyen en cadena. Algunos tienen textos alarmantes sobre
catástrofes (virus informáticos, perder el trabajo o incluso la muerte) que
pueden sucederte si no reenvías el mensaje a todos los contactos de tu libreta
de direcciones. También existen hoaxes que tientan con la posibilidad de
hacerte millonario con sólo reenviar el mensaje o que apelan a la sensibilidad
invocando supuestos niños enfermos. Hay otros que repiten el esquema de las
viejas cadenas de la suerte que recibíamos por correo postal que te auguran
calamidades si cortas la cadena y te prometen convertirte en millonario si la
sigues. Para lograr la continuación de la cadena se utiliza psicología o
ingeniería social.
Por eso lo mejor es no reenviar estos mensajes, rompe las cadenas.
Básicamente, podemos dividir los hoaxes en las siguientes categorías:
Alertas sobre virus incurables
Mensajes de temática religiosa
Cadenas de solidaridad
Cadenas de la suerte
Leyendas urbanas
Métodos para hacerse millonario
Regalos de grandes compañías
Hotmail y Messenger:
Passwords de Hotmail Hotmail se cierra
Quitan el Messenger Pérdida de casilla de Hotmail
Alerta!!!!! Atención!!!!! Hotmail NO cierra
Otros:
García Márquez Test de personalidad
Deforestación del Amazonas Falso curso de Cisco
La coima del siglo Base nuclear norteamericana en Tierra del
Fuego
64
5/10/2018 Seguridad en Internet - slidepdf.com
http://slidepdf.com/reader/full/seguridad-en-internet-55a0befa2d475 65/120
El truco del !0000 contra los virus, es un HOAX SCAM: Estafa a la
nigeriana
Manda un mail a 11 personas y aparecerá un video en tu pantalla
Petición para evitar la Tercera Guerra Mundial
El poema "Instantes" no es de Borges, Rock, satanismo,
mensajes ocultos, etc.
Finalmente, reproducimos algunos mensajes que no son hoaxes sino que son
mensajes reales pero que, por distintas causas, no deben ser reenviados.
Hay otros mensajes que no nacen como hoaxes pero pueden ser considerados
como tales:
- Poemas y mensajes de amor y esperanza
- Mensajes para unirte a programas de afiliados
- Chistes y fotos que circulan en cadena
Características Objetivos Consecuencias:
- No tienen firma.
- Algunos invocan los nombres de grandes compañías.
- Piden al receptor que lo envíe a todos sus contactos.
- Te amenazan con grandes desgracias si no lo reenviás.
- Conseguir direcciones de mail.
- Congestionar los servidores.
- Alimentar el ego del autor.
- Hacen perder valor a cadenas creadas por gente que realmente lo necesita.
16.3. OBTENCION DE CONTRASEÑAS
65
5/10/2018 Seguridad en Internet - slidepdf.com
http://slidepdf.com/reader/full/seguridad-en-internet-55a0befa2d475 66/120
Este es el tema mas buscado por los lammers en la red, como obtener
contraseñas de correos electrónicos ajenos. Pero este tema no solo le
concierne a los lammers, sino también a los servidores de correo electrónico y
a los usuarios. Esta pelea de la seguridad de los E-mail se ha convertido en
una guerra sin fin entre crackers y lammers contra los dueños de las
compañías de correo electrónico. En la actualidad hay muchas defensas contra
estos ataques, pero al mismo tiempo muchos fallos de seguridad o "bugs".
Por mi experiencia en el submundo he encontrado varias formas de penetrar en
la seguridad de los correos electrónicos y de descubrir contraseñas de cuentas
de correo ajenas. Son seis principales formas de acceder a esta información:
Uso de KeyLoggers: El KeyLogger fue principalmente utilizado en varias
universidades con el fin de controlar la actividad de los
alumnos. Un KeyLogger es una aplicación que guarda toda
la información que ha sido escrita en el ordenador para así
poder acceder a esta y probar el posible uso delictivo de
estos. Pero los crackers utilizaron este método para
encontrar las contraseñas de sus víctimas. Cuando la
víctima iniciaba una sesión de algún sistema operativo, o
cuando entraba a su correo electrónico, este tenia que
escribir su contraseña, la cual quedaba guardada en el
KeyLogger. Esta información quedaba al alcance del
lammer el cual entraba al ordenador y recogía la
información. Ahora esta técnica es muy utilizada en
colegios y universidades para obtener las contraseñas de
sus víctimas.
Troyanos: Muchas de estas aplicaciones contienen un KeyLogger
adentro que le permite al usuario conseguir una contraseña
de alguna víctima que este a distancia. Al meter el troyano,
66
5/10/2018 Seguridad en Internet - slidepdf.com
http://slidepdf.com/reader/full/seguridad-en-internet-55a0befa2d475 67/120
el lammer tiene total acceso al ordenador de la víctima y
así puede recoger la información escrita mas tarde.
Ingeniería social: Esta es de las técnicas más sencillas, ya que no requieren
de mucho conocimiento de ordenadores. El lammer,
utilizando un "anónimos mailer", un programa que envía un
correo electrónico con una dirección de correo falsa. Así
con una buena coartada el lammer podrá conseguir una
respuesta exitosa con la información de la víctima.
Xploits: En este caso, un xploit es una puerta falsa, es decir una
entrada al correo inexistente. Los lammers crean una copia
exacta de la pagina del servidor de correo la cual guarda la
información de la víctima y la reenvía al intruso, es decir,
cuando la víctima ingresa su cuenta de correo electrónico,
su información va a quedar guardada en la trampa que le
puso el intruso.
Pregunta secreta: Este es el método más fácil y más común de conseguir la
contraseña de algún usuario. Algunos servidores de correo
electrónico le dan la posibilidad al usuario de elegir una
pregunta y una respuesta secreta en caso de que olvide su
contraseña. Si el lammer conoce a su víctima este podrá
adivinar la respuesta secreta y así conseguir la contraseña
de la víctima.
Fuerza bruta: Este es el método más complicado pero el más efectivo,
hace unos meses descubrí un fallo de seguridad (bug) en
dos de los servidores de correo electrónico más
importantes, yahoo y hotmail. Al usuario ingresar de forma
errónea su contraseña tres veces su cuenta quedara
67
5/10/2018 Seguridad en Internet - slidepdf.com
http://slidepdf.com/reader/full/seguridad-en-internet-55a0befa2d475 68/120
bloqueada al instante, pero si el usuario cierra la pagina
web del servidor de correo electrónico y la vuelve a abrir
tiene la posibilidad de escribir erróneamente su contraseña
un numero infinito de veces. Para esto, es posible crear un
programa que utilice Telnet para dirigirse al servido de
correo electrónico e ingresar una contraseña cualquiera,
después, el programa saldrá del servidor de correo
electrónico, volverá a ingresar y escribirá otra contraseña al
azar. El programa repetirá el proceso hasta llegar a una
contraseña acertada y ahí es cuando parara.
Forma fácil: Para que PORFAVOR no me escriban diciéndome “como
hackeo Hotmail” mandan un mail a la administración y listo
ellos les dan un link para que reseteen la contraseña. Por
favor, no contactarme para este tema.
17. CARDING
Ya explique esta técnica anteriormente, pero lo que pretendo hacer ahora es
dar una explicación mas a fondo de lo que se trata esto. Como dije antes esta
técnica no necesariamente necesita de un ordenador para que pueda ser
efectiva. Hay dos formas de utilizar esta técnica y sus derivadas, la primera es
sin utilizar un ordenador, y la segunda es utilizando los ordenadores.
La forma más simple de encontrar información de tarjetas de crédito es
utilizando el trashing. Esta técnica ya no es muy utilizada ya que el método de
utilizar maquinas que dejen carbones de tarjetas de crédito ya no es muy
común, pero aun así se encuentran. El Trashing consiste en obtener carbones
de tarjetas de crédito que son dejados por algunas maquinas al usuario pagar
68
5/10/2018 Seguridad en Internet - slidepdf.com
http://slidepdf.com/reader/full/seguridad-en-internet-55a0befa2d475 69/120
con tarjetas de crédito. El mejor lugar para buscar carbones en la actualidad
son los distritos industriales, ya que para ellos la tecnología en tarjetas de
crédito no es de vital importancia. También, aunque sea más difícil, podremos
encontrar las copias de las facturas en algunas canecas de los distritos
comerciales. Otro lugar son las canecas de los cajeros electrónicos, en los que
se pueden conseguir los recibos de sus cuentas y ahí toda su información. Lo
más recomendable para hacer esto es llevar algunas herramientas para
destruir los candados de las canecas u otros mecanismos de seguridad en los
que puedan estar los carbones o los recibos.
Otra forma de conseguir la información de las tarjetas de crédito es viendo la
información de las tarjetas de compañeros o amigos que las descuiden en
algún lugar. La forma más efectiva de lograr obtener la información es por
medio de un keylogger (ver keylogger sección 6.B), al utilizar este programa, la
información de la tarjeta de crédito que la víctima escriba en el ordenador será
guardada.
Principalmente la información que se debe conseguir de una tarjeta de crédito
son: El nombre del usuario, la fecha de expiración, el numero de la cuenta, que
esta entre doce y dieciocho números, y el tipo de tarjeta (visa, american
express etc.)
Ya obtenidos los carbones o recibos, existen varias formas de usarlos, como
ordenando artículos por teléfono, haciendo llamadas a líneas especiales (líneas
calientes, adivinos, concursos, etc.), o utilizando Internet para hacer las
compras en línea. El uso más común hoy en día es la transferencia de dinero
de una cuenta hacia otra, con el número de cuenta y la clave, es fácil transferir
grandes sumas de dinero.
Actualmente la seguridad de las tarjetas de crédito es muy poca, y el agujero
de seguridad mas grande es uno mismo, los números de tarjetas de crédito son
69
5/10/2018 Seguridad en Internet - slidepdf.com
http://slidepdf.com/reader/full/seguridad-en-internet-55a0befa2d475 70/120
difundidos por toda la red al hacer compras y los usuarios las dejan en
diferentes archivo, igualmente el pishing se volvió una moda entre la gente
maliciosa de la red.
18. Pishing
El "Pishing" es una forma de estafa bancaria, basada en el envío de mensajeselectrónicos fraudulentos.
Básicamente el "Pishing" es una forma de correo electrónico no solicitado, que
pretende obtener información confidencial mediante la suplantación de las
páginas de acceso a un servicio de banca electrónica.
Phishing es la capacidad de duplicar una página web para hacer creer alvisitante que se encuentra en la página original en lugar de la copiada.
Normalmente se utiliza con fines delictivos duplicando páginas web de bancos
conocidos y enviando indiscriminadamente correos para que se acceda a esta
página a actualizar los datos de acceso al banco.
En ocasiones, el término “phishing” se dice que es la contracción de “password
harvesting fishing” (cosecha y pesca de contraseñas), aunque estoprobablemente es un acrónimo retroactivo.
De forma más general, el nombre phishing también se aplica al acto de
adquirir, de forma fraudulenta y a través de engaño, información personal como
contraseñas o detalles de una tarjeta de crédito, haciéndose pasar por alguien
digno de confianza con una necesidad verdadera de tal información en un e-
70
5/10/2018 Seguridad en Internet - slidepdf.com
http://slidepdf.com/reader/full/seguridad-en-internet-55a0befa2d475 71/120
mail parecido al oficial, un mensaje instantáneo o cualquier otra forma de
comunicación. Es una forma de ataque de la ingeniería social
Indicador de nivel de Pishing actual
La Asociación de Internautas ha creado el indicador AlertPhising para uso de
los sitios web que deseen ofrecer a sus visitantes información en línea del
estado de los ataques en vigor
El indicador AlertPhising es una aplicación sencilla, que indica mediante
distintos colores y niveles el estado de alerta de ataques de Phishing a lasentidades que están siendo suplantadas.
Nivel 1 (No hay alertas)
Nivel: 2 (bajo)
Nivel: 3 (moderado)
Nivel: 4 (alto)
Nivel: 5 (Extremo)
Además cuenta con un enlace permanente a los consejos antiphishing del
Centro de Alerta temprana sobre Virus y Seguridad Informática, perteneciente a
la entidad Red.es
El “phishing” es una de las técnicas más empleadas por ciberdelincuentes para
llevar a cabo estafas online. La Campaña pone a disposición de los usuariosejemplos y consejos para hacer frente a la grave amenaza del “phishing”.
(Asociación de Internautas) Las herramientas disponibles gratuitamente en la
web http://www.seguridadenlared.org permiten a los usuarios mantener sus
equipos libres de todo tipo de malware.
- La 1ª Campaña Mundial de Seguridad en la Red pone en manos de todos los
71
5/10/2018 Seguridad en Internet - slidepdf.com
http://slidepdf.com/reader/full/seguridad-en-internet-55a0befa2d475 72/120
usuarios la posibilidad de luchar contra todo tipo de amenazas procedentes de
Internet. Precisamente una de las más peligrosas, y que cada día es empleada
con más frecuencia por parte de usuarios sin escrúpulos, es el denominado
“phishing”.
El “phishing” consiste en el envío de falsos mensajes de correo electrónico que,
simulando proceder de fuentes fiables, intentan recoger datos confidenciales de
los usuarios, principalmente relacionados con cuentas bancarias o tarjetas de
crédito. Normalmente, en estos mensajes se afirma que, por motivos de
seguridad, es necesario actualizar datos de los clientes, como números PIN,
nombres de usuario o passwords. En caso de que el usuario -confiado por el
aspecto del mensaje recibido- introduzca dichos datos, los mismos serán
enviados a manos de ciberdelincuentes que, de esa manera, podrán realizar
estafas fácilmente.
Lo más habitual es que dichos e-mails aparenten proceder de entidades
financieras de reconocido prestigio. En algunas ocasiones, en lugar de enviar
los datos directamente a partir de un pequeño formulario, el mensaje de correo
electrónico contiene un link que, al pulsarlo, dirige al usuario a una falsa página
web. Esta última simula, hasta en sus más mínimos detalles, la apariencia del
sitio web original. Asimismo, existen técnicas para conseguir que la dirección
que aparezca en la barra de direcciones del navegador sea muy similar a la de
la compañía de la que aparenta provenir.
Todo esto hace que el “phishing” esté siendo cada vez más empleado para
llevar a cabo fraudes online. De hecho, según datos obtenidos por Anti-
Phishing Working Group, el 5% de los usuarios que reciben estos mensajes
fraudulentos llegan a introducir sus datos confidenciales.
La 1ª Campaña Mundial de Seguridad en la Red
http://www.seguridadenlared.org, contiene información esencial sobre este tipo
72
5/10/2018 Seguridad en Internet - slidepdf.com
http://slidepdf.com/reader/full/seguridad-en-internet-55a0befa2d475 73/120
de estafas. En la dirección
http://www.seguridadenlared.org/disfrutandointernet/banca/banca3.htm se
encuentran ejemplos de estos correos electrónicos falsos, así como los
consejos más útiles para evitar ser víctimas de estos ataques.
Además de ello, en dicha dirección, los usuarios pueden informarse sobre
cómo utilizar con seguridad los servicios bancarios online
http://www.seguridadenlared.org/disfrutandointernet/banca/default.htm, o la
manera más eficaz de construir claves de acceso
http://www.seguridadenlared.org/disfrutandointernet/banca/banca2.htm que
dificulten las acciones de cualquier ciberdelincuente.
Según Victor Domingo, presidente de la Asociación de Internautas (AI), “El
phishing se está convirtiendo en una amenaza de primera magnitud. Para
evitarla, la única solución pasa por estar informado, ya que no existe ningún
tipo de programa que pueda impedir totalmente este tipo de ataques. Por eso,
dentro de los contenidos del sitio web de la Campaña, hemos reservado un
espacio dedicado exclusivamente al “phishing”. Estamos seguros de que sus
contenidos serán de gran valor para todos los usuarios de Internet”.
José María Hernández, vicepresidente de Expansión Internacional de Panda
Software, afirma: “por desgracia, los fraudes online cada vez son más
frecuentes y constituyen un gran amenaza, no ya para los equipos informáticos,
sino para los propios usuarios que pueden ver como sus cuentas se vacían
como consecuencia de un ataque “phishing”. Concienciar a los Internautas
sobre estos peligros y, sobre todo, poner a su disposición las armas necesarias
para defenderse, ha sido una de la principales motivaciones para poner en
marcha la 1ª Campaña Mundial de Seguridad en la Red”.
Organizada por la Asociación de Internautas y Panda Software, la 1ª Campaña
Mundial de Seguridad en la red fue puesta en marcha el pasado 17 de junio
73
5/10/2018 Seguridad en Internet - slidepdf.com
http://slidepdf.com/reader/full/seguridad-en-internet-55a0befa2d475 74/120
bajo el lema “Limpiar el Planeta de virus”, y tiene como objetivo lograr una Red
más segura para todos. Esta iniciativa pionera permite a internautas de más de
100 países mantener sus equipos libres de virus e intrusos gracias a las
herramientas gratuitas que pueden encontrarse en la web de en el sitio web
http://www.seguridadenlared.org.
La 1ª Campaña Mundial de Seguridad en la Red, que cuenta con el apoyo de
más de 300 empresa e instuciones de todo el mundo está disponible en ocho
de los idiomas más utilizados en Internet: inglés, chino, japonés, español,
alemán, francés, portugués e italiano. Su site -accesible en
http://www.seguridadenlared.org. http://www.seguridadenlared.org y
http://www.worldwidesecure.org - resuelve todas las dudas que pueden surgirle
a un internauta acerca de la seguridad. Además, incluye todo lo necesario para
que conozca al detalle cada amenaza y su solución específica, y proteja su
ordenador tanto de virus como de otro tipo de intrusos, utilizando las diferentes
herramientas gratuitas que están a su disposición. Asimismo, tiene una línea
abierta con expertos de seguridad, ya que a través de un foro puede hacer
cualquier tipo de consulta que será respondida por expertos de la industria.
La 1ª Campaña Mundial de Seguridad en la Red es una iniciativa abierta, ya
que en ella puede participar todo aquel internauta, empresa o institución que
desee contribuir a su difusión.35
19. Sniffers y Key Loggers
Estas dos utilidades son las principales utilidades de hurto de información.
Estas herramientas intentan hurtar la información de los usuarios, ya sean
contraseñas o información confidencial. Los antivirus denominan a estas
35 www.sitiosargentina.com.ar
74
5/10/2018 Seguridad en Internet - slidepdf.com
http://slidepdf.com/reader/full/seguridad-en-internet-55a0befa2d475 75/120
utilidades su principales enemigo, ya que son muy difíciles de detectar, y los
que se detectan no se pueden borrar, ya que estas no son herramientas de
uso ilegal y son desarrolladas y distribuidas por empresas distinguidas que
cuentas con la autorización requerida. Principalmente estas herramientas
fueron creadas con fines educativos y de control, pero cayeron en manos de
los crackers y las convirtieron en las herramientas perjudiciales para los
usuarios y la privacidad de ellos en Internet.
Los KeyLogger son simples herramienta que guardan la información de un
ordenador en la memoria del disco. Cada vez que el usuario escribe alguna
información esta será guardada. Este es el método más común que usan los
crackers para obtener contraseñas, ya sean de correo electrónico, isp, cuentas
de usuario, números de tarjetas de crédito, etc.
19.1. SNIFFERS
Puede ser malo que entren a su ordenador y consigan las sus contraseñas,
pero puede llegar a ser peor si revisan toda la información que recorre la red
desde algún ordenador. Estas aplicaciones, llamadas Sniffers, son el control de
la red, y así mismo de los ordenadores ligados a ella.
Originalmente los Sniffers eran herramientas que se utilizaban para depurar
algunos problemas del funcionamiento de las redes. Estas aplicaciones
capturan, interpretan y almacenan toda la información que viaja por la red para
que puedan ser analizados después. Con esta técnica del "siniffing" los
usuarios de la red dispones de una aplicación que les permite ver el flujo en la
red y así mismo sus fallos mediante la visión del tráfico de información.
Un sniffer es una aplicación que trabaja en conjunto con la tarjeta de red o de
módem y así poder extraer todo el trafico de información que se encuentra
entre el módem y el exterior. Las tarjetas de red descartan cualquier tipo de
75
5/10/2018 Seguridad en Internet - slidepdf.com
http://slidepdf.com/reader/full/seguridad-en-internet-55a0befa2d475 76/120
información que no va dirigida principalmente a ellas, por eso, otra función del
sniffer, es colocar a la tarjeta en lo que se llama "modo promiscuo" y así la
tarjeta de red recibirá todo tipo de información para que el sniffer pueda
acceder a ella.
20. IP SPOOFING
En abril de 1989 en un artículo llamado "security problems in tcp/ip Protocol
Suite" por S.M Bellovin, fue el primero en identificar el ip-spoofing como unriesgo para las redes de computadores. Bellovin describe cómo Roberto Morris,
creador del gusano ahora infame del Internet, calculó cómo el TCP creaba una
secuencia de números de serie y forjaba una secuencia de paquetes TCP. Este
paquete del TCP incluía la dirección de destinación de su "víctima" y usando un
ataque de ip spoofing Morris podía obtener el acceso de la raíz a su sistema
apuntado sin una identificación del usuario o una contraseña.
Una idea falsa común es que el "IP spoofing" se puede utilizar para ocultar su
dirección IP mientras que practica la navegación en Internet, chatea en línea,
envía un E-mail, etc. Esto generalmente no es verdad. Forjar la dirección IP de
la fuente hace las respuestas ser re direccionadas, significando que usted no
puede crear una conexión de red normal. Sin embargo, el IP spoofing es una
parte integral de muchos ataques de la red que no necesiten considerar las
respuestas (el spoofing oculto).
Principalmente el funcionamiento de los protocolos TCP/IP es el siguiente. El
sistema del cliente comienza enviando un mensaje de SYN al servidor. El
servidor entonces reconoce el mensaje de SYN enviando el mensaje de SYN-
ACK al cliente. El cliente entonces acaba el establecer la conexión
respondiendo con un mensaje del ACK. La conexión entre el cliente y el
servidor está entonces abierta, y los datos servicio específicos se pueden
intercambiar entre el cliente y el servidor. El cliente y el servidor pueden ahora
76
5/10/2018 Seguridad en Internet - slidepdf.com
http://slidepdf.com/reader/full/seguridad-en-internet-55a0befa2d475 77/120
enviar datos a servicios específicos. Como ya dije antes el protocolo TCP usa
secuencias de números. Cuando un circuito virtual se establece entre dos
servidores, el TCP asigna a cada paquete un número como un identificador.
Los dos servidores usan este número para buscar errores y reportarlos.
Un ataque spoofing del IP se hace en lo "oculto", significando que el atacante
asumirá la identidad de un anfitrión "confiable". De la perspectiva del anfitrión
del blanco, está continuando simplemente sosteniendo una conversación
"normal" con un anfitrión confiable. En verdad, están conversando con un
atacante que esta ocupado forjando los paquetes de las direcciones ip. Los
datagramas del IP que contienen las direcciones forjadas del IP alcanzarán el
blanco intactos. Cada datagrama se envía sin la preocupación del usuario al
otro extremo.
Sin embargo, los datagramas que el blanco envía detrás (destinado para el
usuario confiable) terminará arriba en el cubo, el atacante nunca los verá. Los
routers entre la blanco y el atacante saben la dirección de destinación de los
datagramas, en el usuario "confiable", puesto que aquí es de adonde vinieron
originalmente y de donde deben ser vueltas. Una vez que los datagramas se
encaminen allí, el protocolo se estaca, y una vez que alcanza el TCP, serán
desechados.36
Existen cuatro métodos que son utilizados al hacer IP spoofing:
hombre-en-medio: el paquete identifica en acoplamiento entre los dos puntos
finales, y puede por lo tanto fingir ser un final del encaminamiento de la
conexión
Re direccionamiento del router: re dirige la información del router del anfitrión
original al anfitrión del hacker (ésta es otra forma de ataque hombre-en-medio).
77
5/10/2018 Seguridad en Internet - slidepdf.com
http://slidepdf.com/reader/full/seguridad-en-internet-55a0befa2d475 78/120
Routing de la fuente: re dirije los paquetes indviduales por el hacker y el
"soofing oculto" predice las respuestas de un anfitrión, permitiendo el envío de
ordenes, pero no puede conseguir una respuesta.
Flooding: El SYN (código de paquetes del TCP) llena de direcciones al azar a
la víctima; causando una respuesta inmediata de la víctima.37
21. DNS Poissoning
El envenenamiento de DNS es una técnica que engaña un servidor DNS
diciéndole que ha recibido la información auténtica cuando, en la realidad, no lo
es. Una vez el servidor de DNS se ha "envenenado", la información
generalmente se esconde durante algún tiempo, mientras extiende el efecto del
ataque a todos los usuarios del servidor.
Normalmente, una computadora conectada a Internet usa un servidor DNS
proporcionado por el ISP del dueño del computador. Este servidor DNS
generalmente sirve sólo a los clientes propios del ISP y contiene una cantidad
pequeña de información del DNS en el caché de los usuarios anteriores del
servidor (cuando se manejas IP's dinámicas). Un ataque de envenenamiento
en un solo servidor DNS de un ISP puede afectar un gran número de usuarios,
dependiendo de cuántos usuarios se encuentran esperando respuesta del
servidor DNS comprometido.
Contenidos
36 http://www.wbglinks.net/pages/reads/ipspoof/inrtotoipspoofing.html37
http://www.iss.net/security_center/advice/Underground/Hacking/Methods/Technical/Spoofing/default.htm
78
5/10/2018 Seguridad en Internet - slidepdf.com
http://slidepdf.com/reader/full/seguridad-en-internet-55a0befa2d475 79/120
Realizar un ataque de envenenamiento de caché (del usuario del DNS), el
atacante se aprovecha de alguna falla en el software del DNS (o el isp) para
que este pueda hacer que acepte información incorrecta. Si el servidor no
valida las respuestas de DNS correctamente para asegurar que estos han
venido de una fuente conocida, el servidor terminará estableciendo en el caché
local entradas incorrectas y le servirá a usuarios que hacen el mismo "pedido".
Esta técnica puede usarse para reemplazar contenido arbitrariamente de una
cantidad de víctimas con el contenido que el atacante escoja. Por ejemplo, el
atacante envenena las entradas de DNS de las direcciones IP,
reemplazándolas con la dirección de IP de un servidor que él controla. Él crea
las entradas falsas para los archivos en el servidor que él controla con nombres
que emparejen con los del servidor designado. Ahí ya tiene puertas abiertas
para infiltrar archivos que podrían contener código dañino, como un gusano o
un virus. Un usuario cuya computadora tiene el referente del servidor DNS
envenenado pensará que el contenido de cierto archivo viene del servidor
designado y seguro, y pues lo mas seguro es que el mismo sea victima de un
ataque.
Prevención
Los ataques de envenenamiento de caché se pueden prevenir simplemente
aumentando la desconfianza en la información que le entra, aumentando la
seguridad y métodos de autenticación. También es importante que los DNS
desconfíen totalmente de otros DNS e ignoren los registros de usuarios
pasados, ya que esto puede ser una fuente importante de ataques y de otros
tipos de vulnerabilidades o bugs.
79
5/10/2018 Seguridad en Internet - slidepdf.com
http://slidepdf.com/reader/full/seguridad-en-internet-55a0befa2d475 80/120
Este tipo de ataque también puede atenuarse en el nivel de transporte o en el
nivel de aplicación (refiriéndome al protocolo OSI de ISO TCP/IP), para realizar
la comprobación de punto a punto una vez que una conexión se establezca en
un punto fijo, aquí es muy importante el protocolo TCP, ya que “verifica” que los
datos entrantes sean correctos, y que lleguen en su totalidad, evitando a lo
máximo ser alterados. Un ejemplo de esto sería el uso de firmas digitales, por
ejemplo usando el protocolo https, se puede verificar el certificado digital dado
por un servidor, aun así con el protocolo ssh y las últimas variaciones de telnet
(http 1.1) podría ser de gran ayuda. También los sistemas de cifrado de la
información son importantes para preservar la seguridad del contenido de la
información, ya que no permiten desvíos y forman métodos aleatorios de
encriptación.
22. DoS
DoS son las siglas de denial of service, o en español, negación de servicio. Losataques de negación de servicio, como su nombre lo indica, son ataques que
niegan algún servicio o el acceso al ordenador. Estos ataques de DoS
anualmente cuestan a las empresas sumas multimillonarias de dinero y son
una amenaza para cualquier sistema o red. Principalmente un ataque de
negación desorganiza o niega completamente el servicio a usuarios, redes,
sistemas u otros recursos. La intención de estos ataques normalmente son
dañinas y casi no requiere de habilidad informática, ya que las herramientaspara concluir un ataque de este tipo están al alcance de cualquiera.
Uno de los primeros ataques de negación más famosos tuvo lugar en 1996. Un
ISP (proveedor de servicio de Internet) a las afueras de Nueva York, Public
Acces Networks (PANIX) fue aislado durante aproximadamente una semana,
negando el acceso a Internet de alrededor 6,000 usuarios y 1,000 compañías.
80
5/10/2018 Seguridad en Internet - slidepdf.com
http://slidepdf.com/reader/full/seguridad-en-internet-55a0befa2d475 81/120
Este ataque aprovecho una debilidad del protocolo TCP/IP y consiguió el
control de las peticiones SYN.
Una de las principales razones por las que se lanza un ataque DoS,
frecuentemente es por la seguridad de una red o usuario que frustra las
aspiraciones de un cracker inexperto. Este sintiéndose frustrado por su falla
lanzara un ataque de negación de servicio como ultimo recurso. También, en
muchas ocasiones, es necesario que el atacante realice un ataque de negación
de servicio para así vulnerar un sistema y poder acceder a este con mayor
facilidad.
Muchos dispositivos de redes tienen defectos en sus pilas de red las cuales
debilitan su capacidad para resistir ataques DoS, o también los protocolos de
Internet contienen defectos de los cuales se pueden tomar ventaja y así lograr
un ataque óptimo. Existen 4 principales tipos de ataques de negacion de
servicio, el consumo de ancho de banda, los ataques genéricos. Ataques DNS,
y desbordamiento del buffer.38
22.1. CONSUMO DE ANCHO DE BANDA
Este tipo de ataque de negación esta principalmente dirigido a sobre saturar el
ancho de banda de un módem. Los crackers consumirán todo el ancho de
banda disponible en una red para así dejarla sin recursos. En este ataque DoS,
los crackers son capaces de inundar la conexión de red de la víctima, ya que
tienen un mayor ancho de banda disponible, es decir, si un cracker que posee
una conexión con un bando de ancha mayor (por decir 1MB) ataca a un usuario
con un ancho de banda menor (por decir 56KB), este tendrá la posibilidad de
inundar el otro sistema consumiendo sus 56KB de ancho de banda sin que el
38
McClure, Stuart. Scambray, Joel. Kurtz, George. HACKERS secretos ysoluciones para la seguridad de redes. Mc. Graw Hill. 2002
81
5/10/2018 Seguridad en Internet - slidepdf.com
http://slidepdf.com/reader/full/seguridad-en-internet-55a0befa2d475 82/120
se niegue el servicio a si mismo, y así el tendrá una diferencia de 44MB de
recursos disponibles.
Ahora si el atacante no logra superar el ancho de banda de la víctima, tendrá
que utilizar un método llamado amplificación. Con este método el cracker
consigue unir una multitud de sitios, servidores, y ordenadores para así superar
el ancho de banda de su víctima y conseguir un ataque de negación efectivo.39
22.2. ATAQUE DoS GENÉRICO
Este ataque DoS es capaz de afectar a muchos tipos diferentes de sistemas,
por lo que se denominan genéricos. Generalmente este tipo de ataque
pertenece a la categoría de ataques DoS de consumo de ancho de banda. Un
elemento típico de este tipo de ataque, es la manipulación de distintos
protocolos y asi tener la posibilidad de afectar a mas de un sistema que este
conectado a este. Por ejemplo, los atacantes pueden utilizar un bombardeo de
correo electrónico para enviar millares de mensajes al sistema de la víctima
con el fin de consumir el total de su ancho de banda asi mismo que para
reducir los recursos del servidor de correo electrónico. Este es un ejemplo de
manipulación del protocolo SMPT Y POP3.
Otro ejemplo de este tipo de ataque es el denominado "ping de la muerte", es
este ataque un grupo grande de atacantes hace un ping a un servidor con el fin
de conseguir una respuesta del servidor. Al unir todos estas peticiones, el
sistema se sobre satura de informacion y se bloquea. El ping de la muerte fue
el ataque utilizado hace algunos años hacia la OTAN por varios crackers y
hackers del mundo.40
39 McClure, Stuart. Scambray, Joel. Kurtz, George. HACKERS secretos ysoluciones para la seguridad de redes. Mc. Graw Hill. 200240
McClure, Stuart. Scambray, Joel. Kurtz, George. HACKERS secretos ysoluciones para la seguridad de redes. Mc. Graw Hill. 2002
82
5/10/2018 Seguridad en Internet - slidepdf.com
http://slidepdf.com/reader/full/seguridad-en-internet-55a0befa2d475 83/120
22.3. ATAQUES DNS
En 1997, el equipo de seguridad de Secure Networks Inc. (SNI), ahora Network
associates Inc. (NAI), publicó ciertos consejos sobre las debilidades
encontradas en implantaciones BIND. BIND permitía falsear la información de
caché cuando se activaba la recursión DNS. La recurción permite que un
servidor de nombres maneje peticiones por zonas o dominios a los que no
sirve. Cuando un servidor de nombres reciba una consulta de una zona odominio a la que no sirve, transmitirá la petición al correspondiente servidor de
nombres del dominio específico. Una vez que se recibe la respuesta del
servidor de nombres correspondiente, el primer servidor de nombres la enviará
finalmente al solicitante.
Desgraciadamente, cuando se activa la recursión en versiones vulnerables de
BIND,
un atacante puede contaminar la caché del servidor de nombres realizando la
búsqueda recursiva. Este proceso recibe el nombre de PTR record spoofing
(falseo del registro PTR) y corromperá el proceso de asignación de direcciones
IP a los nombres de hosts. Aunque existen implicaciones serias de seguridad
relacionadas con la corrupción de las relaciones que dependen de las
búsquedas de nombres de hosts, también existirá la posibilidad de realizar un
ataque DoS DNS. Por ejemplo, los atacantes pueden tratar de convencer a un
servidor de nombres objetivo de que relacione vww.empresaabc.com con
0.0.0.10, una dirección IP inexistente. Cuando los usuarios del servidor de
nombres vulnerable deseen acceder a www.empresaa.bc.com, no recibirán
83
5/10/2018 Seguridad en Internet - slidepdf.com
http://slidepdf.com/reader/full/seguridad-en-internet-55a0befa2d475 84/120
nunca una respuesta de 0.0.0.10, negándose así, efectivamente, el servicio a
vww.empresaabc.com.41
22.4. DESBORDAMIENTO DEL BUFFER
Los ataques de desbordamiento de buffer permiten a los atacantes la ejecución
de comandos arbitrarios en un sistema víctima. Se produce una situación de
desbordamiento de buffer cuando un usuario intenta introduce en el buffer una
mayor cantidad de datos de los permitidos. Un desbordamiento de buffernormalmente provoca una violación de la segmentación. Esto puede provocar
una sobre saturación del buffer y así negar el sistema.42
23. TELNET
23.1. TELNET INVERSO
Cada vez que se quiere entrar a un sistema remoto, tienen la posibilidad de
establecer una puerta trasera en l sistema. Con algunos códigos el cracker
puede lograr entablar una conexión directa con el sistema y así poder realizar
intrusiones posteriormente. Los mandatos a ejecutar son programas
previamente instalados que no necesitan la transferencia de ningún archivo. En
el sub mundo se le llama a esto Telnet inverso, ya que esta tecnica utiliza telnet
para conectarse al servidor de escucha (la puerta trasera), luego el crackerintroduce los comandos desde una ventana en la corriente inversa de telnet,
enviando la salida a la otra ventana.43
41 McClure, Stuart. Scambray, Joel. Kurtz, George. HACKERS secretos ysoluciones para la seguridad de redes. Mc. Graw Hill. 200242 McClure, Stuart. Scambray, Joel. Kurtz, George. HACKERS secretos ysoluciones para la seguridad de redes. Mc. Graw Hill. 2002
84
5/10/2018 Seguridad en Internet - slidepdf.com
http://slidepdf.com/reader/full/seguridad-en-internet-55a0befa2d475 85/120
24. INGENIERIA SOCIAL
Este puede parecer el método más sencillo y menos útil de penetrar en un
sistema o adquirir una contraseña, pero no es así, la ingeniería social es el
método más útil que no explota bugs de los sistemas, sino a los ingenuos.
Básicamente se denomina ingeniería social a todo artilugio, tretas y técnicas
más elaboradas a través del engaño de las personas en revelar contraseñas u
otra información.
La ingeniería social se establece en la parte mas débil de cualquier sistema de
seguridad, el ingenio, o mas bien, la falta de ingenio. Se dice a menudo que la
única computadora segura es aquella que nunca será encendida. Con la
ingeniería social se puede demostrar totalmente lo contrario el hecho que usted
pudiera persuadir a alguien para que le suministre su numero de tarjeta de
crédito, puede sonar como un algo poco factible, sin embargo al suministra
datos confidenciales diariamente en distintos medios, como el papel que arroja
a la basura o el papel donde escribió su contraseña. También el factor humano
es una parte esencial del juego de seguridad no existe un sistema informático
que no dependa de algún dato ingresado por un operador humano. Esto
significa que esta debilidad de seguridad es universal, independiente del
sistema operativo, software, red o antigüedad del equipo.
La falta de educación de las personas son la falla mas grande de cualquier
sistema, el esconderle información de algún tipo a los usuarios puede llegar a
convertirse en la ventaja mas grande de un cracker al atacar. Cada ser humano
tiene las herramientas para intentar un "ataque" de ingeniería social, en el
"ataque", la única diferencia es la habilidad y conocimientos al hacer el uso de
estas herramientas, su propio ingenio y habilidad de persuasión.
43
McClure, Stuart. Scambray, Joel. Kurtz, George. HACKERS secretos y
85
5/10/2018 Seguridad en Internet - slidepdf.com
http://slidepdf.com/reader/full/seguridad-en-internet-55a0befa2d475 86/120
Existen dos métodos para cumplir con la ingeniería social:
Demanda directa, donde a la víctima se le pide completar su tarea
directamente. Aunque probablemente tenga menor éxito, éste es el método
más fácil y el más sincero. La víctima sabe lo que usted quiere que ellos hagan
exactamente.
Ejecución indirecta, es una situación previamente ideada donde la victima es
simplemente una parte de la misma. El mismo puede ser persuadido porque
cree en las razones suministradas. Esto involucra mucho más trabajo para la
persona que hace el esfuerzo de la persuasión, y casi ciertamente se involucra
obteniendo un conocimiento extenso del objetivo. Esto no significa que las
situaciones no tienen que ser basadas en hecho real. Cuando menos
falsedades, mayor la facilidad de acertar.
Sin embargo, el éxito depende mucho de cómo esté involucrada, la persona a
la que usted le pida información sobre su objetivo. Nosotros podemos definir a
los administradores del sistema, analistas de seguridad, técnicos, las personas
a las que se le confían herramientas de trabajo esenciales o comunicación,
están muy envueltas en los ataques diseñados por otros expertos de las
computadoras.
Se clasifican las personas con nivel bajo si ellos tienen el interés muy pequeño
en qué usted está pidiéndoles que hagan. Los ejemplos pertinentes podrían ser
los guardias, limpiadores, o recepcionistas con acceso a computadora. Porque
no es probable que las personas de bajo envolvimiento se sientan afectadas
directamente por una demanda, ellos tienden a no molestarse analizando una
petición. En cambio es común para una decisión estar de acuerdo con su
demanda. Tal información podría ser simplemente el número de razones que el
ingeniero social enumera, la urgencia clara de la demanda o el estado de la
persona que intenta realizar la persuasión. Básicamente, las personas que no
soluciones para la seguridad de redes. Mc. Graw Hill. 2002
86
5/10/2018 Seguridad en Internet - slidepdf.com
http://slidepdf.com/reader/full/seguridad-en-internet-55a0befa2d475 87/120
conocen el razonamiento de un ingeniero social, se persuadirán más por el
número de argumentos o demandas en lugar de verificar la factibilidad de cómo
deberán ser resueltas.44
Capitulo 3
(Métodos de defensa)
25. Introducción
Es tradicional que en todo lo bueno exista algo malo y viceversa, y esta no es
la excepción. En el segundo capitulo se pudo ver los problemas que están
presentes cada vez que nos encontramos frente a un ordenador o conectados
a Internet y por eso para mantener el status quo de esta sociedad están los
44 www.rompecadenas.com.ar/ingsocial.htm
87
5/10/2018 Seguridad en Internet - slidepdf.com
http://slidepdf.com/reader/full/seguridad-en-internet-55a0befa2d475 88/120
vigilantes y la policía de Internet. ¿Pero quienes son ellos?, como se pudo
apreciar en el primer capitulo, los hackers en su mayoría son los protectores de
esta sociedad. Sus habilidades y su gran valor ético consagran a estas
personas como los guardianes, aunque el nombre se ha manchado por muchos
ellos seguirán en su camino. Estos protectores no solo son simples aficionados
con grandes habilidades, los hackers se encuentran desde lo mas alto del FBI
hasta en la casa del vecino. Este tercer capitulo intentara aclarar varias dudas
sobre el funcionamiento de las herramientas y de las estrategias utilizadas para
defender una maquina en este mundo tan hostil.
Es una realidad, como en la mayoría de los casos, los criminales están un paso
mas adelante, pero las autoridades los siguen muy de cerca. Un ordenador
nuca estará seguro y esto es lo que se intenta evitar, por eso existen grandes
compañías que tiene4n por único objetivo controlar estas desdichas.
26. ANTIVIRUS
El antivirus es la herramienta más conocida para protegerse de las amenazas
de la red. Hoy en día los antivirus incorporan diversas funcionalidades, que
cubren un gran campo de acción: trabajan en segundo plano, permiten
escanear archivos adjuntos en e-mails y rastrear y eliminar virus de macro,
además de las otras clases existentes. Los antivirus en un comienzo eran
especializados, como lo dice su nombre, en escanear y eliminar las diferentes
clases de virus, pero pocos años después un gran cantidad de amenazas de
las cuales era necesario protegerse aparecieron en la red. Desde este punto
los antivirus crearon diversas herramientas para evitar estas amenazas como
los spams y algunos tipos de DoS que son instalados en los ordenadores en
forma de fichero. Los antivirus se han convertido en una utilidad de gran
necesidad y aprobación por los usuarios ya que es la única herramienta que es
capaz de detectar y eliminar los virus.
88
5/10/2018 Seguridad en Internet - slidepdf.com
http://slidepdf.com/reader/full/seguridad-en-internet-55a0befa2d475 89/120
26.1. HEURISTICA Y FUNCIONAMIENTO DEL ANTIVISUS
La mayoría de los virus informáticos generan alteraciones en los sistemas para
poder arrancar desde un fichero o desde alguna instrucción. Una interrupción
es el modo que tiene un programa ensamblador de ejecutar servicios y
funciones del BIOS (Basic Input Output System, más conocido como la ROM) y
el DOS. La mayoría de los virus 'interceptan' estas interrupciones de modo que
cada vez que se ejecuta uno de dichos servicios el virus supervisa lo que está
haciendo el programa que ejecutó la interrupción, a este proceso se ledenomina 'instalar un gestor de interrupción'.
Este es el método en el que los virus funcionan, cuando el antivirus ve estar
irregularidades puede definir la presencia del virus. Como existen
interrupciones que son muy poco ocupadas por programas convencionales y
que son bastante recurridas por un virus, también hay partes de código que son
características de virus, por ejemplo ¿para qué querría un programa
convencional copiarse a si mismo, esto estaría en un código común y
corriente? o ¿no crees que es sospechoso que un programa verifique si un
archivo comienza con ciertos bits que lo identifican como .exe? Estas
características han ayudado en gran parte al avance de los antivirus y cada día
es mas sencillo identificarlos.45
Las técnicas heurísticas nacen de la necesidad de una “detección genérica” de
los virus informáticos. Se llama detección genérica a la posibilidad de detectar
“cualquier virus” aún sin haberlo analizado antes y sin estar en la base de datos
del antivirus que se esté considerando. Esto pareciera que carece de sentido
pero es tan simple como buscar “instrucciones comunes” de los virus para
advertir de la posibilidad de que un archivo o programa esté infectado. .
45 http://www.siempreon.com/hack/Virus/Curso1/curso1.html
89
5/10/2018 Seguridad en Internet - slidepdf.com
http://slidepdf.com/reader/full/seguridad-en-internet-55a0befa2d475 90/120
Cuando analizamos las primeras instrucciones de cualquier archivo, veremos
instrucciones para detectar los parámetros de la línea de comandos, borrar la
pantalla, llamar a alguna función, ejecutar alguna macro, etc. No obstante
tratándose de un virus suelen ser otras bien diferentes como activar el cuerpo
del virus o buscar más archivos para intentar implantarles su código.
La experiencia es sin duda lo que lleva a una persona a reconocer algo
infectado de algo limpio en cuestión de segundos. Esa “experiencia” se ha
pretendido introducir en los programas antivirus bajo el nombre de “heurística”.
El funcionamiento de la heurística es sencillo, primero se analiza cada
programa sospechoso sin ejecutar las instrucciones, lo que hace es
desensamblar o "descompilar" el código de máquina para deducir que haría el
programa si se ejecutara. Avisando que el programa tiene instrucciones para
hacer algo que es raro en un programa normal, pero que es común en un virus.
Sin duda el principal problema de las técnicas heurísticas ha sido los falsos
positivos. A pesar de que se han mejorado mucho en los últimos años, siguen
sin conseguir demasiada efectividad (aunque hay algunas excepciones). El
problema más que en la calidad de la rutina heurística está en la interpretación
que el usuario realice de ese aviso heurístico. Si es poco experimentado estará
constantemente mandando muestras a su casa de antivirus ya que “el antivirus
le dijo que podía tener un virus”.
Entendiendo la Heurística como un indicador de probabilidad de contagio, esto
nos lleva a considerarla como un sistema de detección mejorada que al incluirla
en los antivirus nos permite establecer un sistema de alerta y de prevención
ante la aparición de mutaciones de virus o de nuevos virus.
Esta técnica permite "barrer" diferentes tipos de códigos dentro de los archivos,
que sean susceptibles de ser malignos. Códigos que son genéricos dentro de
los archivos maliciosos y que siempre suelen ser parecidos. O por lo menos
respetar parte de las cadenas de comandos que activan los virus.
90
5/10/2018 Seguridad en Internet - slidepdf.com
http://slidepdf.com/reader/full/seguridad-en-internet-55a0befa2d475 91/120
Pero ¿cómo funciona la heuristica en un antivirus? Los virus tienen patrones de
códigos que son como sus "huellas digitales". Los software antivirus buscan
estos patrones, pero sólo de los que tienen almacenados en su lista (por esto la
actualización es tan importante). Estos productos también pueden valerse de la
heurística, es decir, analizan los archivos para detectar comportamientos
similares a los de los virus.
Cada día crece el número de nuevos virus y la alternativa para poder
neutralizarlos, sin haber programado antes el antivirus para su reconocimiento,
es la denominada “búsqueda heurística”. A través de ella, el programa antivirus
analiza el código de los programas buscando instrucciones, acciones
sospechosas o indicios que delaten la presencia de virus en la computadora,
de acuerdo a los patrones habituales empleados por los códigos maliciosos.
El método Heurístico es una tecnología de programación que dentro de sus
rutinas de detección de especies virales, incluye las cadenas clásicas que son
similares, parecidas o afines a virus auténticos. El método heurístico, si no está
bien programado, es susceptible de incurrir en resultados falsos positivos o
negativos. Además, al encontrar un virus desconocido, variante de otro
existente, el antivirus que emplea este método de búsqueda no podrá eliminar
eficientemente el virus y mucho menos reparar el archivo o área afectada.
Para que un antivirus detecte y elimine eficientemente a un virus así como
también repare los daños ocasionados, debe incluir en la base de datos de sus
rutinas de detección y eliminación el exacto micro código viral de esa especie.
Sin embargo la técnica de búsqueda heurística de virus por "familias" es una
forma eficiente de detectar a especies virales que pertenecen a una misma
familia, aunque no es un método absolutamente exacto o eficiente.46
26.2. SINTOMAS
46
http://www.zonavirus.com/Detalle_ARTICULO.asp?ARTICULO=19
91
5/10/2018 Seguridad en Internet - slidepdf.com
http://slidepdf.com/reader/full/seguridad-en-internet-55a0befa2d475 92/120
Reducción del espacio libre en la memoria o disco duro. Un virus, cuando entra
en un ordenador, debe situarse obligatoriamente en la memoria RAM , y por
ello ocupa una porción de ella. Por tanto, el tamaño útil operativo de la memoria
se reduce en la misma cuantía que tiene el código del virus.
Aparición de mensajes de error no comunes. En algunos sistemas Operativos
mas antiguos, los mensajes de error eran muy comunes, por eso algunos virus
aprovechaban esto para ejercer una operación no admitida q finalizara en
mensaje de error.
Fallos en la ejecución de programas. Al abrir alguna aplicación es muy
probable que esta este dañada o modificada por el virus.
Frecuentes caídas del sistema. El sistema puede presentar fallos que pueden
generar caídas del sistema, algunos virus son los culpables de producir estos
fallos.
Tiempos de carga mayores. Ya que para que el virus funciones, este necesita
pasar primero por un proceso de carga que aumentara el tiempo de iniciación
de algunas aplicaciones.
Las operaciones rutinarias se realizan con mas lentitud.
Aparición de programas residentes en memoria desconocidos. Estos
programas pueden ser el mismo virus que se esta ejecutando en un primer
plano.
Actividad y comportamientos inusuales de la pantalla. Muchos de los virus
eligen el sistema de vídeo para notificar al usuario su presencia en el
ordenador. Cualquier desajuste de la pantalla, o de los caracteres de esta nos
puede notificar la presencia de un virus.
El disco duro aparece con sectores en mal estado. Algunos virus usan sectores
del disco para camuflarse, lo que hace que aparezcan como dañados o
inoperativos.
Cambios en las características de los ficheros ejecutables. Casi todos los virus
de fichero, aumentan el tamaño de un fichero ejecutable cuando lo infectan.
92
5/10/2018 Seguridad en Internet - slidepdf.com
http://slidepdf.com/reader/full/seguridad-en-internet-55a0befa2d475 93/120
También puede pasar, si el virus no ha sido programado por un experto, que
cambien la fecha del fichero a la fecha de infección.
Aparición de anomalías en el teclado:
Existen algunos virus que definen ciertas teclas que al ser pulsadas, realizan
acciones perniciosas en el ordenador. También suele ser común el cambio de
la configuración de las teclas, por la del país donde se programo el virus.47
26.3. Laboratorios de antivirus
El trabajo de un laboratorio, por pasos
1.- Detectar el virus.
2.- Abrirlo y analizarlo.
3.- Ejecutarlo y ver qué daño es capaz de hacer.
4.- Crear la vacuna.
Detección de virus
El proceso que va desde detectar el virus hasta lograr una vacuna dura una
media de 3 ó 4 horas. En ese tiempo el personal del laboratorio de
investigación de virus trabaja a toda velocidad y realiza múltiples tareas.
Los medios internacionales de contacto, los clientes y las utilidades de análisis
son indispensables para que una compañía antivirus consiga la información
sobre una nueva plaga.
47 http://www.zonavirus.com/Detalle_ARTICULO.asp?ARTICULO=19
93
5/10/2018 Seguridad en Internet - slidepdf.com
http://slidepdf.com/reader/full/seguridad-en-internet-55a0befa2d475 94/120
Los usuarios que tienen sospechas de tener un virus, se conectan a la web y
esta herramienta analiza sus equipos. Además, como este software les pide el
lugar desde dónde se están enganchando, aquí se obtiene una información
muy importante: saber el contenido vírico de cada país. A parte, Active Scan
les permite recibir virus procedentes de todos los países.
Otro de los medios de recepción son los clientes, que cada vez que encuentran
un código vírico sospechoso dentro de un equipo, lo envían, por medio de los
propios antivirus, al departamento de análisis.
Los virus más complejos de desensamblar son los polimórficos, que en cada
infección que realizan se cifran de una forma distinta. De esta forma, generan
una elevada cantidad de copias de sí mismos.
Un laboratorio antivirus puede recibir de 12 a 14 virus nuevos todos los días.
Un laboratorio, ante un virus muy peligroso, puede llegar a probarlo en 60
máquinas. Y tener trabajando en él a cien personas.
Abrir y ejecutar el virus
Los técnicos que trabajan en el laboratorio, una vez han recibido el virus, lo que
hacen es desensamblarlo, abrir la parte interna de su código. Utilizan unas
herramientas especiales que realizan esa tarea.
A partir de aquí, los investigadores tienen una idea de si lo que han recibido es
un virus, si no lo es, si es un código maligno o si es algo que está atacando las
vulnerabilidades de un determinado software.
94
5/10/2018 Seguridad en Internet - slidepdf.com
http://slidepdf.com/reader/full/seguridad-en-internet-55a0befa2d475 95/120
Esto les sirve para poder prever cuáles son los payloads, es decir, las acciones
malignas que puede realizar el virus. Pero lo que todavía no saben es lo que es
capaz de realizar, y no lo averiguarán hasta que no lo ejecuten.
Por lo tanto, en el siguiente paso el investigador se convierte en un usuario y
ejecuta el código vírico de la misma forma que lo haría éste.
Los investigadores van analizando el virus para ver dónde se deposita, qué es
lo que hace, que modificaciones tiene, en definitiva, los payloads.
Los profesionales observan las acciones malignas del código vírico y después
las escriben, describiendo cuáles son y cómo están hechas. Es en este
momento, cuando entra en acción el departamento de desarrollo. El cual se
encarga de conseguir una vacuna que acote esas acciones malignas, y que
ese virus se pueda reconocer de forma inequívoca con respecto a todos los
códigos que poseen los ordenadores normalmente.
La llegada del antídoto
Tras ejecutar y observar los payloads, el siguiente paso es generar la
información necesaria para que los departamentos de Marketing y
Comunicación de la empresa antivirus sean capaces de informar sobre la plaga
y de cuales son sus acciones malignas.
Por otra parte los usuarios que hayan resultado infectados, en el periodo de
tiempo que el laboratorio ha estado trabajando, se crea el PQRemove, una
herramienta para acabar con el virus concreto que haya infectado el equipo del
usuario.
95
5/10/2018 Seguridad en Internet - slidepdf.com
http://slidepdf.com/reader/full/seguridad-en-internet-55a0befa2d475 96/120
Ese periodo de tiempo depende del tipo de virus. Puede ser de un par de horas
hasta bastantes más si el virus es muy complicado, como puede ser en el caso
de los polimórficos. 48
27. FIREWALLS
Un cortafuego, o como es llamado en ingles, firewall, es un sistema informático
o un grupo de sistemas informáticos que refuerzan seguridad de la información
entre dos redes. Estas redes se refieren como una red interna y red exterior.
Toda la información que pasa entre estas dos redes pasa a través del
cortafuego. Esto hace al cortafuegos un punto ideal para implementar filtrado,
supervicion y registro de sesiones entre una red y otra.
El cortafuego le protege contra ataques del sistema de información del exterior,
pero también puede proteger sistemas externos contra los ataques que se
originan dentro de su red.
Pero un cortafuego no puede protegerle contra todos los ataques de afuera, ni
contra los ataques que vienen desde adentro de su propia red, ni de otros
métodos de la piratería (hurto de los medios de la computadora, del etc) o de
otras formas de hostilidad.
Hay dos categorías principales de cortafuegos: cortafuegos basados en la
filtración del paquete y aplication based firewalls.
Paquete-tipo cortafuegos:
48 http://www.terra.es/tecnologia/articulo/html/tec10175.htm
96
5/10/2018 Seguridad en Internet - slidepdf.com
http://slidepdf.com/reader/full/seguridad-en-internet-55a0befa2d475 97/120
Un paquete-tipo cortafuego filtra simplemente la información que transita entre
las dos redes con las cuales está conectada. Para hacer esto, el cortafuego
utiliza los protocolos empleados en las dos redes (TCP/IP, IPX/SPX, Appletalk,
etc): tiene que saber la estructura de estos protocolos de modo que pueda
filtrar datos dentro de ellos. Hoy, tales sistemas de filtración se construyen cada
vez más a menudo en los routers. Y esto es una localización natural para el
filtrado, porque un router es un punto de la interconexión entre dos redes. Pero
esta categoría del cortafuego no sabe la estructura de los intercambios de los
datos entre diversos servicios (ftp, correo, el Web, etc). Este tipo de cortafuego
sabe solamente protocolos de red.
Ventajas:
• Este tipo de cortafuego es transparente: las aplicaciones no tienen que
ser vueltos a trabajar para aprovecharse de ellos (usted podría decir que
son plug and play).
• En muchos casos, el grado de seguridad proporcionado es
perfectamente adecuado.
• Son baratos.
• Usted puede filtrar cualquier servicio construido alrededor de los
protocolos de red apoyados por el cortafuego.
Desventajas:
• Usted tiene que ser a fondo familiar con la red que se protegerá, y con
los protocolos usados en esta red.
97
5/10/2018 Seguridad en Internet - slidepdf.com
http://slidepdf.com/reader/full/seguridad-en-internet-55a0befa2d475 98/120
• No hay autentificación del usuario; la filtración se basa en la dirección de
red del sistema del hardware.
• La filtración del paquete no encubre la arquitectura interna de la red.
• Con DHCP, las direcciones del IP no son fijas: el sistema del hardware
puede tener un diverso IP address cada vez que se comienza el
sistema.
• Una computadora comprometida en la red de área local puede penetrar
el cortafuego (porque se cree un ordenador seguro).
• El cortafuego no da la protección contra debilidades inherentes en
servicios sin filtro.
• Usted no puede registrar los registros de sesiones individuales: el
cortafuego no comprende los datos intercambiados por servicios (tales
como los datos de una sesión del telnet).
Aplication based firewalls:
Un aplication based firewall es un sistema del hardware en el cual el servidor
para cada servicio se ha reconstruido (ftp, Web, etc). Los clientes no se
conectan directamente con la red exterior, en vez de eso, ellos pasan a través
del cortafuego. El cortafuego después establece una conexión con la red
exterior para el cliente, envía peticiones, recibe respuestas, las analiza y
después las retransmite al cliente dentro de la red interna.
Tal cortafuego da buena seguridad, porque la supervisión ocurre en el nivel de
la aplicación. Esto lo hace más flexible y de gran alcance . Si una conexión
entre la red interna y la red exterior es atacada, sólo la conexión entre el
98
5/10/2018 Seguridad en Internet - slidepdf.com
http://slidepdf.com/reader/full/seguridad-en-internet-55a0befa2d475 99/120
atacante y el cortafuego será atacada. Así, solamente el cortafuego puede ser
comprometido. Si el cortafuego es superado por un ataque, el ataque se nota
generalmente muy rápidamente.
Ventajas:
• Las reglas de la seguridad son fáciles de definir.
• Se pone en ejecución la autentificación del usuario.
• La arquitectura interna de la red puede ser encubierta, porque todas las
conexiones a la red exterior pasan a través del cortafuego.
• Hay conversión de dirección entre la red interna y la red exterior.
• Usted consigue numerosos "log files" y muy detallados.
Desventajas:
• Tales sistemas son costosos: requieren el hardware y el software.
• Son demasiado poderosos para las redes pequeñas.
• Usted necesita software especial del cliente para aprovechar el
cortafuego.
• No hay ayuda para los nuevos servicios.
• La administración del sistema es más exigente que con el paquete-tipo
cortafuegos.
99
5/10/2018 Seguridad en Internet - slidepdf.com
http://slidepdf.com/reader/full/seguridad-en-internet-55a0befa2d475 100/120
Filtrado de paquetes.
La filtración del paquete le deja definir las reglas de filtración basadas en listas
del acceso. Estas reglas de filtración pueden diferenciar para el interfaz de la
entrada y el interfaz de la salida del cortafuego. Así, el administrador de la red
puede especificar diversas reglas y listas del acceso para las conexiones de la
red interna a la red exterior, y viceversa. De esta manera, usted puede
restringir el acceso a la red interna sin la limitación del acceso a la red exterior.
Cuando los datos que vienen a partir de una red a otra desobedecen las reglas
de filtración fijadas por el administrador de la red, en este caso se pueden
tomar varias decisiones: destruir el paquete, enviar un mensaje de error al
remitente o alertar al administrador de la red. ¿Cómo se puede filtrar un
servicio especifico? Cada servicio en el Internet se basa en un número de
acceso de TCP o de UPD (dependiendo del servicio). Un programa sobre el
servidor escucha un número de acceso específico del TCP o del UDP, cuando
los datos se envían a este puerto, el software del servidor los procesa y envía
una respuesta. Para filtrar un servicio, se filtra justo el número de acceso
correspondiente del TCP o del UDP.49
28. PROXIES Y STEALTH
Un aspecto polémico y curioso de Internet es la posibilidad de utilizar la red en
forma anónima o cuestionar la ausencia de anonimato. Voy a tratar de aportar
alguna información sobre los aspectos más candentes de este asunto. Cuando
navegamos, es frecuente que vayamos dejando muchos rastros respecto a lo
que hacemos. Quizá a algunos no les importe todo esto, a otros sí que les
preocupará. En primer lugar los sitios que visitamos son registrados en la
49 www.elabs.fr/indexuk/tutorial_firewall.htm
100
5/10/2018 Seguridad en Internet - slidepdf.com
http://slidepdf.com/reader/full/seguridad-en-internet-55a0befa2d475 101/120
propia máquina, en nuestro propio ordenador. Muchas páginas Web incorporan
formularios con casillas en las que escribir tus datos. Esto se emplea para fines
muy diversos: desde suscribirse a listas de distribución, hasta agregarse a una
protesta contra las tarifas telefónicas o realizar la compra de un producto. De
entrada debes ser muy precavido respecto a difundir así información personal,
puesto que normalmente no tenemos ninguna garantía sobre el uso que se
hará de esa información. Uno de los datos puede ser la dirección de correo
electrónico; luego no te sorprendas si recibes mensajes comerciales masivos
("spam") o tienes problemas más graves. Los formularios solo deben
emplearse utilizando conexiones seguras realizadas hacia sitios de garantía.
Las últimas versiones de los navegadores informan claramente sobre la
seguridad de la transmisión o la ausencia de esta característica. Si la conexión
no es segura, cualquiera que esté husmeando por Internet puede interceptar
esa información y utilizarla luego para otros fines.
Cada vez que nos conectamos a un sitio Web, éste conoce automáticamente
nuestra dirección IP, nombre de máquina, la página desde la que procedemos
y a veces incluso nuestra dirección de correo electrónico. De ahí en adelante,
dependerá del servidor y de su política sobre intimidad lo que se hará con esa
información. Con ayuda de las cookies se puede personalizar aún más la
información recabada acerca de los visitantes, registrando las páginas más
visitadas, nuestras preferencias, dónde hemos estado, tiempo de la visita, etc.
Con todos estos elementos se pueden confeccionar perfiles de usuario cada
vez más exhaustivos y detallados, con información muy personal que puede
adquirir un valor considerable en manos de casas publicitarias, y por la que se
paga dinero.
Por todo lo dicho, existen muchas situaciones en las que convendría navegar
anónimamente sin dejar trazas de nuestra identidad, ya que con estos datos y
mediante programas de búsqueda de personas por su dirección de correo, se
101
5/10/2018 Seguridad en Internet - slidepdf.com
http://slidepdf.com/reader/full/seguridad-en-internet-55a0befa2d475 102/120
puede obtener la identidad del cibernauta, incluyendo su número de teléfono,
dirección, y más.50
Anonimizadores
El servicio de anonimato actúa como un filtro de seguridad entre tu navegador y
el sitio Web que deseas visitar. Te conectas al anonimizador, introduces el URL
al que deseas ir, entonces éste se adentra en la Red en busca de la página que
deseas ver y te la muestra. Si posteriormente vas siguiendo enlaces de una
página a otra, se presentarán asimismo a través del anonimizador.
Sus inconvenientes:
• No funcionan con todos los sitios ni con los servidores seguros.
• Tampoco se reciben cookies (lo cual para algunos representa más bien
un alivio).
• Desactivan todos los programas en Java, JavaScript, etc. (de nuevo,
ventaja o inconveniente según para quién).
• Ralentizan la navegación.
• Para un servicio óptimo hay que pagar.
• Añaden a las páginas que visitamos banners con publicidad de sus
patrocinadores.51
Proxies
Los proxies primero fueron inventados para acelerar conexiones del Internet. Y
así es como trabajan: Usted se está intentando conectar con un servidor en el
otro lado del planeta. Sus peticiones del HTTP se envían a su proxy server, que
está situado en la jefatura del ISP's, que están mucho más cercano a usted que
ese servidor lejano. El proxie primero chequea primero si uno de usuarios ha
tenido acceso a esta pagina web últimamente. Si es así debe tener una copia
50
http://www.a1dominios.com
102
5/10/2018 Seguridad en Internet - slidepdf.com
http://slidepdf.com/reader/full/seguridad-en-internet-55a0befa2d475 103/120
de él en alguna parte en los servidores de este. Entonces el proxy server
comienza la conexión solamente al chequeo, si su versión no es anticuada, que
requiere solamente mirar el tamaño del archivo. Si tiene la última versión, le
enviará el archivo, en vez de tener hacer que el servidor lejano se lo envíe, y
así acelera la conexión. Si no, descargará los archivos solicitados por sí mismo
y después se los enviará. Pero los proxies se pueden también utilizar como
anonimizadores mientras que navega por Internet, porque manejan todas las
peticiones del HTTP para usted. La mayoría de las ocasiones son que su ISP
tiene un proxie. Pero los problemas con el acceso del proxie dado a usted por
su ISP son:
1. Algunos ISPs incluso no tiene proxies.
2. El dueño de la pagina web todavía podría saber qué ISP usted está
utilizando y dónde reside usted, puesto que esta clase de proxies no son
públicos y ella puede ser alcanzada solamente por los usuarios de eso ISP.52
29. CYPTOLOGIA
Del Antiguo Egipto a la era digital, los mensajes cifrados han jugado un papel
destacado en la Historia. Arma de militares, diplomáticos y espías, son la mejor
defensa de las comunicaciones y datos que viajan por Internet.
Esclavos con textos grabados en su cuero cabelludo, alfabetos de extraños
símbolos, escritos de tinta simpática, secuencias interminables de números...
Desde la Antigüedad, el hombre ha hecho gala de su ingenio para garantizar la
confidencialidad de sus comunicaciones. La criptografía (del griego kryptos,
"escondido", y graphein, "escribir"), el arte de enmascarar los mensajes con
signos convencionales, que sólo cobran sentido a la luz de una clave secreta,
nació con la escritura. Su rastro se encuentra ya en las tablas cuneiformes, y
los papiros demuestran que los primeros egipcios, hebreos, babilonios y asirios
51
R a v e N, The Anonymity Tutorial. blacksun.box.sk. 2000
103
5/10/2018 Seguridad en Internet - slidepdf.com
http://slidepdf.com/reader/full/seguridad-en-internet-55a0befa2d475 104/120
conocieron y aplicaron sus inescrutables técnicas, que alcanzan hoy su
máxima expresión gracias al desarrollo de los sistemas informáticos y de las
redes mundiales de comunicación.
Entre el Antiguo Egipto e Internet, los criptogramas han protagonizado buena
parte de los grandes episodios históricos y un sinfín de anécdotas. Existen
mensajes cifrados entre los 64 artículos del Kamasutra, el manual erótico hindú
del Vatsyayana, abundan en los textos diplomáticos, pueblan las órdenes
militares en tiempos de guerra y, por supuesto, son la esencia de la actividad
de los espías.
Criptografía de clave secreta
En los cifrados de clave secreta, la seguridad depende de un secreto
compartido exclusivamente por emisor y receptor.
La principal amenaza criptoanalítica proviene de la alta redundancia de la
fuente. Shannon sugirió por ello dos métodos básicos para frustrar un
criptoanálisis estadístico: la difusión y la confusión.
El propósito de la difusión consiste en anular la influencia de la redundancia de
la fuente sobre el texto cifrado. Hay dos formas de conseguirlo. La primera,
conocida como transposición, evita los criptoanálisis basados en las
frecuencias de las n-palabras. La otra manera consiste en hacer que cada letra
del texto cifrado dependa de un gran número de letras del texto original.
El objetivo de la confusión consiste en hacer que la relación entre la clave y el
texto cifrado sea lo más compleja posible, haciendo así que las estadísticas del
texto cifrado no estén muy influidas por las del texto original. Eso se consigue
52 http://www.a1dominios.com
104
5/10/2018 Seguridad en Internet - slidepdf.com
http://slidepdf.com/reader/full/seguridad-en-internet-55a0befa2d475 105/120
normalmente con la técnica de la sustitución. En solitario, ni confusión ni
difusión constituyen buenas técnicas de cifrado.
Cifrado en bloque, DES
Independientemente de la clasificación realizada en el apartado anterior según
la fuente que genera el texto, los cifrados simétricos se pueden clasificar en
dos grandes grupos: los correspondientes a fuentes que generan n-palabras y
los correspondientes a fuentes que generan letras. En el primer caso se habla
de cifrados en bloque y en el segundo de cifrados en flujo.
El cifrado en bloque opera sobre textos formados por n-palabras, convirtiendo
cada una de ellas en una nueva n-palabra.
Sin duda el cifrado en bloque más conocido es el llamado DES. Este sistema
se puede catalogar como un cifrado en bloque que es a la vez un cifrado
producto de transposiciones y sustituciones.
A finales de los años cuarenta, Shannnon sugirió nuevas ideas para futuros
sistemas de cifrado. Sus sugerencias se referían al uso de operaciones
múltiples que mezclaran transposiciones y sustituciones. Estas ideas fueron
aprovechadas por IBM en los años setenta, cuando desarrolló un nuevo
sistema llamado LUCIFER. Poco después en 1976, el gobierno de EEUU
adoptó como estándar un sistema de cifrado basado en el LUCIFER y
denominado DES (Data Encryption Standard). En consecuencia casi todos los
gobiernos del mundo aceptaron el mismo cifrado o parte de él como estándar
en las comunicaciones de las redes bancarias y comerciales.
En el DES, el bloque de entrada M en primer lugar sufre una transposición bajo
una permutación denominado IP, originando To=IP(M). Después de pasar To
105
5/10/2018 Seguridad en Internet - slidepdf.com
http://slidepdf.com/reader/full/seguridad-en-internet-55a0befa2d475 106/120
dieciséis veces por una función f, se transpone bajo la permutación inversa IP',
obteniéndose así el resultado final.
Criptografía de clave publica
En los cifrados asimétricos o de clave pública la clave de descifrado no se
puede calcular a partir de la de cifrado.
En 1975, dos ingenieros electrónicos de la Universidad de Stanford, Whitfield
Diffie y Martin Hellman, sugieren usar problemas computacionalmente
irresolubles para el diseño de criptosistemas seguros. La idea consiste
básicamente en encontrar un sistema de cifrado computacionalmente fácil (o al
menos no difícil), de tal manera que el descifrado sea, por el contrario,
computacionalmente irresoluble a menos que se conozca la clave. Para ello,
hay que usar una transformación criptográfica Tk de fácil aplicación, pero de tal
forma que sea muy difícil hallar la transformación inversa Tk' sin la clave de
descifrado. Dicha función Tk es, desde el punto de vista computacional, no
invertible sin cierta información adicional (clave de descifrado) y se llama
función de una vía o función trampa.
En estos esquemas se utiliza una clave de cifrado (clave pública) k que
determina la función trampa Tk, y una clave de descifrado (clave secreta o
privada) que permite el cálculo de la inversa Tk'.
Cualquier usuario puede cifrar usando la clave pública, pero sólo aquellos que
conozcan la clave secreta pueden descifrar correctamente.
En consonancia con el espíritu de la criptografía moderna, y tal cómo sucedía
en los sistemas simétricos, los algoritmos de cifrado y de descifrado son
públicos, por lo que la seguridad del sistema se basa únicamente en la clave de
descifrado.
106
5/10/2018 Seguridad en Internet - slidepdf.com
http://slidepdf.com/reader/full/seguridad-en-internet-55a0befa2d475 107/120
Sistemas RSA
La seguridad del RSA se basa en el hecho de que no existe una forma eficiente
de factorizar números que sean productos de dos grandes primos.
Fue desarrollado en 1977 por Ronald Rivest, Adi Shamir y Leonard Adleman,
de ahí el nombre de RSA, que corresponde a las iniciales de los apellidos de
sus autores. 53
30. FIRMAS Y PRIVASIDAD
Una firma digital es un conjunto de datos asociados a un mensaje que permite
asegurar la identidad del firmante y la integridad del mensaje.
La firma digital no implica que el mensaje está cifrado, esto es, un mensaje
firmado será legible en función de que está o no cifrado.
El firmante generará mediante una función, un 'resumen' o huella digital del
mensaje. Este resumen o huella digital la cifrará con su clave privada y el
resultado es lo que se denomina firma digital, que enviará adjunta al mensaje
original.
Cualquier receptor del mensaje podrá comprobar que el mensaje no fue
modificado desde su creación porque podrá generar el mismo resumen o
misma huella digital aplicando la misma función al mensaje. Además podrá
comprobar su autoría, descifrando la firma digital con la clave pública del
firmante, lo que dará como resultado de nuevo el resumen o huella digital del
mensaje.
53 http://rinconquevedo.iespana.es/rinconquevedo/Criptografia/criptografia.htm
107
5/10/2018 Seguridad en Internet - slidepdf.com
http://slidepdf.com/reader/full/seguridad-en-internet-55a0befa2d475 108/120
Las huellas digitales son un conjunto de datos asociados a un mensaje que
permiten asegurar que el mensaje no fue modificado.
La huella digital o resumen de un mensaje se obtiene aplicando una función,
denominada hash, a ese mensaje, esto da como resultado un conjunto de
datos singular de longitud fija.
Una función hash tiene entre otras las siguientes propiedades:
Dos mensajes iguales producen huellas digitales iguales.
Dos mensajes parecidos producen huellas digitales completamente diferentes.
Dos huellas digitales idénticas pueden ser el resultado de dos mensajes iguales
o de dos mensajes completamente diferentes.
Una función hash es irreversible, no se puede deshacer, por tanto su
comprobación se realizará aplicando de nuevo la misma función hash al
mensaje.
Las firmas digitales tienen diferentes funciones:
Autentificar la identidad del usuario, de forma electrónica, ante terceros.
Firmar digitalmente de forma que se garantice la integridad de los datos
trasmitidos y su procedencia.
Cifrar datos para que sólo el destinatario del documento pueda acceder a su
contenido.
El uso de un certificado nos garantiza:
1) La identidad del emisor y del receptor de la información (autentificación de
las partes)
108
5/10/2018 Seguridad en Internet - slidepdf.com
http://slidepdf.com/reader/full/seguridad-en-internet-55a0befa2d475 109/120
2) Que el mensaje no ha sido manipulado durante el envío (integridad de la
transacción)
3) Que sólo emisor y receptor vean la información (confidencialidad)
4) Que el titular de un mensaje no pueda negar que efectivamente lo firmó (no-
repudio)
31. CONCLUSIONES
Como pudimos ver en este proyecto, el uso de Internet y de ordenadores no es
confiable, existen varios métodos para hacer la estadía en la red más
agradable, peor aun así las amenazas siguen existiendo. Otro factor importante
es el económico, una gran parte de las empresas diseñadoras de software
cobra por sus productos y su información. Este aspecto hace aumentar el
índice de criminalidad en la red ya que muchos de los criminales pelean por “la
libre información”.
Internet es una sociedad muy grande y compleja, muchos generalizan a todos
sus habitantes por los que más sobresalen, es decir los que tienen fines
maliciosos, los crackers, por eso no debemos generalizar a todas las personas
de esta comunidad. Como pudimos ver en el primer capítulo y parte del tercero,
en esta comunidad de Internet también existe gente con fines beneficiosos para
esta sociedad, los hackers.
Mi consejo para todos los usuarios de Internet es que aprendan y salgan de la
ignorancia ya que esta es la principal herramienta de muchos crackers,
aprovecharse de la ingenuidad de las personas.
109
5/10/2018 Seguridad en Internet - slidepdf.com
http://slidepdf.com/reader/full/seguridad-en-internet-55a0befa2d475 110/120
BIBLIOGRAFÍA
• http://rinconquevedo.iespana.es/rinconquevedo/Criptografia/cri
ptografia.htm
• http://www.a1dominios.com
• R a v e N, The Anonymity Tutorial. blacksun.box.sk. 2000
• http://www.a1dominios.com
• www.elabs.fr/indexuk/tutorial_firewall.htm
• http://www.terra.es/tecnologia/articulo/html/tec10175.htm
•
http://www.zonavirus.com/Detalle_ARTICULO.asp?ARTICULO=19
• http://www.siempreon.com/hack/Virus/Curso1/curso1.html
• www.rompecadenas.com.ar/ingsocial.htm
• McClure, Stuart. Scambray, Joel. Kurtz, George. HACKERS
• secretos y soluciones para la seguridad de redes. Mc. Graw
Hill. 2002
• http://www.iss.net/security_center/advice/Underground/Hacking/
• Methods/Technical/Spoofing/default.htm
110
5/10/2018 Seguridad en Internet - slidepdf.com
http://slidepdf.com/reader/full/seguridad-en-internet-55a0befa2d475 111/120
• http://www.wbglinks.net/pages/reads/ipspoof/inrtotoipspoofing.
html
• David Lightman. Credit Carding. 1985
• http://www.rompecadenas.com.ar/spam.htm
• http://www.zonavirus.com/Tecnicas/Mecanismos_Polimorficos.asp
• http://www.zonavirus.com/Tecnicas/Armouring.asp
• http://www.zonavirus.com/Tecnicas/Tecnicas_de_autoencriptación
.asp
• http://www.perantivirus.com/sosvirus/general/stealth.htm
• http://deco-hack.iespana.es/deco-hack/manuales/Tunneling.txt
• Diario de un hacker. Confesiones de hackers adolescentes Dan
Verton Mc Graw Hill, 1999
• Christopher Klaus, Backdoors. 1997
• http://www.cnnenespanol.com/2004/tec/01/29/virus.famosos.reut/
• index.htm
• http://www.dragones.org/Biblioteca/Articulos/virus3.html
• http://www.siempreon.com/hack/Virus/VHisto/vhisto.html
111
5/10/2018 Seguridad en Internet - slidepdf.com
http://slidepdf.com/reader/full/seguridad-en-internet-55a0befa2d475 112/120
•
Sortilegio, Virus. www.elhacker.net
• KRaViTZ , INTRODUCCION AL CRACKING
• _^SIAKO^_, El Chacal de la Red. www.elhacker.net
• http://www.perantivirus.com/sosvirus/hackers/levin.htm
• http://www.invent.org/hall_of_fame/155.html
• http://www.perantivirus.com/sosvirus/hacke rs/morris.htm
• http://tatooine.fortunecity.com/tharg/95/hpvc.html
• http://www.geocities.com/SiliconValley/Sector/5353/textos.htm
• http://rinconquevedo.iespana.es/rinconquevedo/Criptografia/cla
sicos.htm
• http://www.monografias.com/trabajos/virus/virus.shtml
• http://www.informaticahispana.com/~hackedplanet/def_lammer.htm
• http://www.umanizales.edu.co/encuentrohackers/m_copyhacker.ht
m
• Morrison, William. Crackers on the web. Editorial gray star
1994
112
5/10/2018 Seguridad en Internet - slidepdf.com
http://slidepdf.com/reader/full/seguridad-en-internet-55a0befa2d475 113/120
• http://mundo-libre.org/phreaking/phreaking.htm
• http://catb.org/~esr/jargon/html/P/phreaking.html
• http://www.paralax.com.mx/antivirus/ar03-hackersyvirus.html
• http://www.elinflador.com.ar/hackercarta.html
•
http:// www.lycos.com/hacknova/foro.php
• http://www.paralax.com.mx/antivirus/ar03-hackersyvirus.html
113
5/10/2018 Seguridad en Internet - slidepdf.com
http://slidepdf.com/reader/full/seguridad-en-internet-55a0befa2d475 114/120
GLOSARIO
ADMINISTRADOR, sysop, root : Es la persona que se encarga del sistema. Se
suele denominar rOOt y es quien tiene el poder absoluto sobre la máquina.
AGUJERO, bug, hole : Es un efecto en el software o hardware que como su
nombre indica deja agujeros para los hackers.
AIX : Sistema operativo de IBM.
BUGS y EXPLOITS : Los bugs son fallos en el software o en el hardware y que
usan los hackers para entrar en sistemas y un exploit es un programa que
aprovecha el agujero dejado por el bug. Ver AGUJERO.
BOMBA LOGICA : Código que ejecuta una particular manera de ataque cuando
una determinada condición se produce. Por ejemplo, una bomba lógica puedeformatear el disco duro un día determinado, pero a diferencia de un virus, la
bomba lógica no se replica.
BACKDOOR : Puerta trasera. Mecanismo que tiene o que se debe crear en un
software para acceder de manera indebida.
BBS (Bulletin Board System) : Es una máquina a la que se accede a través de
la línea telefónica y donde se dejan mensajes y software.
BOXING : Uso de aparatos electrónicos o eléctricos (Boxes) para hacer
phreaking.
BOUNCER : Técnica que consiste en usar una máquina de puente y que
consigue que telneteando al puerto xxxx de la máquina "bouncerada" te
redireccione la salida a un puerto determinado de otra máquina. Esta técnica es
114
5/10/2018 Seguridad en Internet - slidepdf.com
http://slidepdf.com/reader/full/seguridad-en-internet-55a0befa2d475 115/120
muy usada en el IRC, redireccionando a los puertos destinados a los servidores
de IRC por anonimicidad y otros temas que no vienen al caso.
CABALLOS DE TROYA : Programa que se queda residente en un sistema y
que ha sido desarrollado para obtener algún tipo de información. Por ejemplo,
sería un caballo de troya un programa que al ejecutarlo envíe el fichero de
/etc/passwd a una determinada IP.
CORTAFUEGOS : Ver firewall.
COPS : Programa de seguridad.
CERT (Computer Emergency Response Team) : Bien, como su nombre indica
es una gente que se dedica de trabajar en seguridad, pero que en su esfuerzo
por informar de bugs nuevos.
CLOACKER : Programa que borra los logs (huellas) en un sistema. También
llamados zappers.
CRACKER : Esta palabra tiene dos acepciones, por un lado se denomina
CRACKER a un HACKER que entra a un sistema con fines malvados, aunque
normalmente la palabra CRACKER se usa para denominar a la gente que
desprotege programas, los modifica para obtener determinados privilegios, etc.
CRACKEADOR DE PASSWORDS : Programa utilizado para sacar los
password encriptados de los archivos de passwords.
DAEMON : Proceso en background en los sistemas Unix, es decir, un proceso
que está ejecutándose en segundo plano.
EXPLOIT : Método concreto de usar un bug para entrar en un sistema.
115
5/10/2018 Seguridad en Internet - slidepdf.com
http://slidepdf.com/reader/full/seguridad-en-internet-55a0befa2d475 116/120
FIREWALL, cortafuego : Sistema avanzado de seguridad que impide a
personas no acreditadas el acceso al sistema mediante el filtrado de los
paquetes dependiendo de la IP de origen. En la actualidad está considerado
como uno de los medios de seguridad mas fiables y hay poca documentación
al respecto de como hackearlos.
FUERZA BRUTA: Es el procedimiento que usan tanto los crackeadores de
password de UNIX como los de NT que se basan en aprovechar diccionarios
para comparar con los passwords del sistema para obtenerlos.
FAKE MAIL : Enviar correo falseando el remitente.
GRAN HERMANO : Cuando la gente se refiere al Gran Hermano, se refiere a
todo organismo legal de lucha contra el mundo underground.
GUSANO : Término famoso a partir de Robert Morris, Jr. Gusanos son
programas que se reproducen ellos mismos copiándose una y otra vez de
sistema a sistema y que usa recursos de los sistemas atacados.
HACKING : Técnicas de entrada de forma ilegal en un sistema informático con
el ánimo de obtener información, siempre y cuando esto se use con fines
educativos o de diversión, NUNCA para adueñarse de conocimientos que no
son nuestros o con ánimo de lucro. Estos actos no presuponen la destrucción
de la información, ni la instalación de virus.
HOLE : Ver bug.
HP/UX : Sistema operativo de HP.
116
5/10/2018 Seguridad en Internet - slidepdf.com
http://slidepdf.com/reader/full/seguridad-en-internet-55a0befa2d475 117/120
INGENIERIA SOCIAL : Obtención de información por medios ajenos a la
informática.
IRIX : Sistema operativo.
ISP (Internet Services Provider) : Proveedor de servicios internet.
KEY : Llave. Se puede traducir por clave de acceso a un software o sistema.
KERBEROS : Sistema de seguridad en el que los login y los passwords van
encriptados.
KEVIN MITNICK : Es el hacker por excelencia!. Sus hazañas se pueden
encontrar en mil sitios en la Red.
LINUX : Sistema operativo de la familia UNÍX.
LOGIN : Para entrar en un sistema por telnet se necesita siempre un login
(nombre) y un password (clave).
MAQUINA : En este texto, habitualmente se utilizara el término máquina para
referirse al ordenador.
MAIL BOMBER : Es una técnica de insulto, que consiste en el envío masivo de
mails a una dirección (para lo que hay programas destinados al efecto) con la
consiguiente problemática asociada para la víctima.
PASSWORD : Contraseña asociada a un login. También se llama así al famoso
fichero de UNIX /etc/passwd que contiene los passwords del sistema.
PPP : Point-to-point protocol... RFC 1661.
117
5/10/2018 Seguridad en Internet - slidepdf.com
http://slidepdf.com/reader/full/seguridad-en-internet-55a0befa2d475 118/120
PASSWORD CRACKER : Ver CRACKEADOR DE PASSWORD.
PGP : Pretty Good Privacy. Es un programa de encriptación de llave publica.
PHRACK : zine sobre hack muy famosa.
PORT SCANNER : Programa que te indica que puertos de una máquina están
abiertos.
ROOT, administrador, sysop : Persona que tiene control total sobre el sistema y
cuyo UID es 0.
ROUTER : Máquina de la red que se encarga de encauzar el flujo de paquetes.
SNIFFER : Es un programa que monitoriza los paquetes de datos que circulan
por una red. Más claramente, todo lo que circula por la red va en paquetes de
datos que el sniffer chequea en busca de información referente a unas cadenas
prefijadas por el que ha instalado el programa.
SHELL : Este concepto puede dar lugar a confusión ya que una shell en un
sistema UNIX es un programa que interactúa entre el Kernel y el usuario,
mientras que en nuestros ambientes significa el conjunto de login y password.
SUNOS : Sistema operativo de Sun.
SOLARIS : Sistema operativo de Sun.
SYSOP : Ver rOOt.
118
5/10/2018 Seguridad en Internet - slidepdf.com
http://slidepdf.com/reader/full/seguridad-en-internet-55a0befa2d475 119/120
TCP/IP : Arquitectura de red con un conjunto de protocolos. Es la que se suele
usar en Internet.
TRACEAR : Seguir la pista a través de la red a una información o de una
persona.
UDP: Protocolo de comunicación que a diferencia del TCP no es orientado a
conexión.
UNIX : Familia de sistemas operativos que engloba a SunOS, Solaris, irix, etc.
VMS : Sistema operativo.
VIRUS : Es un programa que se reproduce a si mismo y que muy posiblemente
atacará a otros programas. Crea copias de si mismo y suele dañar datos,
cambiarlos o disminuir la capacidad de tu sistema disminuyendo la memoria útil
o el espacio libre.
WAR DIALER : Estos son programas (también se podría hacer a mano, pero es
muy pesado) que realizan llamadas telefónicas en busca de modems. Sirve
para buscar máquinas sin hacerlo a través de Internet. Estas máquinas suelen
ser muy interesantes ya que no reciben tantos ataques y a veces hay suerte y
no están tan cerradas.
WORM : Ver gusano.
WINDOWS : Sistema operativo hecho por Microsoft.
ZAP : Zap es un programa que se usa para borrar las huellas en un sistema.
Debido a lo famoso que se ha hecho muchos programas que desarrollan estas
funciones se les llama zappers.
119