Cuentas sin contraseña o contraseñas débiles
La mayoría de los sistemas se encuentran configurados para usar contraseñas secretas como primera y única línea de defensa. Los nombres de usuario (user IDs) son relativamente fáciles de conseguir y la mayoría de las compañías tienen accesos telefónicos que se saltan el cortafuegos. Es por esto que si un atacante puede determinar el nombre de una cuenta y su contraseña correspondiente, él o ella pueden entrar en la red. Dos grandes problemas lo constituyen las contraseñas fáciles de adivinar y las contraseñas por defecto, pero aún así, uno mucho mayor son las cuentas sin contraseña. En la práctica, todas las cuentas con contraseñas débiles, contraseñas por defecto o contraseñas en blanco deben de ser eliminadas de su sistema.
Adicionalmente, muchos sistemas contienen cuentas que vienen incluidas o cuentas por defecto. Estas cuentas generalmente tienen la misma contraseña para todas las instalaciones del software. Los atacantes habitualmente buscan estas cuentas ya que son bien conocidas por su comunidad. Por esta razón, cualquier cuenta preexistente o por defecto, debe ser identificada y eliminada del sistema.
Resulta afectado cualquier sistema operativo o aplicación en los cuales los usuarios se autentifiquen por medio de un nombre de usuario y una contraseña.
Phishing
Se puede resumir de forma fácil, engañando al posible estafado, "suplantando la imagen de una empresa o entidad publica", de esta manera hacen "creer" a la posible víctima que realmente los datos solicitados proceden del sitio "Oficial" cuando en realidad no lo es.
Spofing
Por spoofing se conoce a la creación de tramas TCP/IP utilizando una dirección IP falseada; la idea de este ataque - al menos la idea - es muy sencilla: desde su equipo, un pirata simula la identidad de otra máquina de la red para conseguir acceso a recursos de un tercer sistema que ha establecido algún tipo de confianza basada en el nombre o la dirección IP del host suplantado. Y como los anillos de confianza basados en estas características tan fácilmente falsificables son aún demasiado abundantes (no tenemos más que pensar en los comandos r-, los accesos NFS, o la protección de servicios de red mediante TCP Wrapper), el spoofing sigue siendo en la actualidad un ataque no trivial, pero factible contra cualquier tipo de organización.
Hacker
El uso común del término 'hacker' en la actualidad poco tiene que ver con el original, lo que ha llevado a que se le relacione con la mayoría de actividades fraudulentas que ocurren en Internet. Se ha propagado la idea de que los ataques a sitios-web de importantes corporaciones y empresas (Yahoo!, Microsoft, SCO, etc.)'' o los virus que se propagan por Internet, entre otras actividades, son obra de los 'hackers'. De esta manera, se ha identificado, incorrectamente, al 'hacker' con el 'cracker' (persona que se dedica a "romper").
Gran número de puertos abiertos
Tanto los usuarios legítimos como los atacantes se conectan a los sistemas por medio de puertos. Cuantos más puertos se encuentren abiertos más formas hay para que alguien se conecte. Por lo tanto, es importante mantener abiertos sólo los puertos imprescindibles para que el sistema funcione correctamente. El resto de los puertos deben ser cerrados.
Registro de eventos (logging) incompleto o inexistente
Una de las máximas de la seguridad es, "la prevención es ideal, pero la detección es fundamental". Mientras usted permita fluir el tráfico entre su red y la Internet, la probabilidad de que un atacante llegue silenciosamente y la penetre está siempre latente. Cada semana se descubren nuevas vulnerabilidades y existen muy pocas formas de defenderse de los ataques que hagan uso de las mismas. Una vez que usted ha sido atacado, sin registros (logs) hay muy pocas probabilidades de que descubra qué hicieron realmente los atacantes. Sin esa información su organización debe elegir entre recargar completamente el sistema operativo desde el soporte original y luego esperar que los respaldos se encuentren en buenas condiciones, o bien correr y asumir el riesgo que representa seguir utilizando un sistema que un atacante controla.
Usted no puede detectar un ataque si no sabe qué está ocurriendo en la red. Los registros le proporcionan los detalles de lo que está ocurriendo, qué sistemas se encuentran bajo ataque y qué sistemas han sido comprometidos.
El registro debe ser realizado de forma regular sobre todos los sistemas clave, y deben ser archivados y respaldados porque nunca se sabe cuándo se pueden necesitar. La mayoría de los expertos recomiendan enviar todos los registros a un recolector central que escribe la información en un soporte que sólo admita una escritura, con el fin de que el atacante no pueda sobrescribir los registros para evitar la detección.
NETBIOS - recursos compartidos en red no protegidos
El protocolo SMB (Server Message Block), también conocido como CIFS (Common Internet File System), permite habilitar la compartición de recursos a través de la red. Muchos usuarios permiten el acceso a sus discos con la intención de facilitar el trabajo en grupo con sus colaboradores. Sin saberlo, están abriendo sus sistemas a cualquier atacante al permitir el acceso, tanto de lectura como de escritura, a otros usuarios de la red. Como ejemplo sirva el caso de una institución del gobierno de los Estados Unidos dedicada al desarrollo de software para planificación de misión. Los administradores, con el objetivo de que algunas personas de otro centro del gobierno pudieran tener acceso a ellos, compartieron sus archivos con permisos de lectura para todo el mundo. En tan sólo dos días, algunos atacantes descubrieron las particiones compartidas y robaron el software de planificación de misión.
Habilitar la propiedad de compartir archivos en máquinas Windows las hace vulnerables tanto al robo de información como a ciertos tipos de virus que se propagan con rapidez. Las máquinas Macintosh y UNIX son también vulnerables a ataques de este tipo si los usuarios habilitan la compartición de archivos.
Los mecanismos SMB que permiten el compartir archivos en Windows pueden ser también utilizados por posibles atacantes para obtener información sensible acerca de dichos sistemas. A través de conexiones de tipo "sesión nula" ("null session") con el servicio de sesión de NetBIOS es posible obtener información sobre usuarios y grupos (nombres de usuario, fecha de la última sesión, política de contraseñas, información de acceso remoto RAS), sobre el sistema, y ciertas claves del registro. Toda esta información es útil para los crackers porque les ayuda a preparar un ataque contra el sistema consistente en la predicción de posibles contraseñas o simplemente la averiguación de las mismas por la fuerza bruta.
Vulnerabilidades en sendmail
Sendmail es un programa que envía, recibe y redirecciona la mayor parte del correo electrónico procesado en máquinas UNIX y Linux. Lo extendido de su uso en Internet lo convierte en uno de los objetivos prioritarios de los crackers. A lo largo de los años han sido descubiertos en sendmail diversos defectos. En uno de los ataques más habituales, el atacante envía un mensaje falsificado a la máquina que está ejecutando sendmail, éste lee el mensaje y lo interpreta como un conjunto de instrucciones mediante las cuales la máquina víctima envía su archivo de contraseñas a la máquina del atacante (o a otra víctima) donde las contraseñas pueden ser descifradas.
No hay comentarios.:
Publicar un comentario