1. ATAQUES CLIENT-SIDE EXPLOITATION ISUMMIT LOXA 2010 Integrantes Carlos Muñoz Jonathan Cortez Universidad Técnica Particular de Loja

2. Temática Hace mucho tiempo que se hace común escuchar en seguridad que “el eslabón más débil de la cadena de seguridad es el usuario”, en realidad no hay nada más cierto que esto y por ello es que se han venido estudiando una serie de metodologías y técnicas más efectivas que se utilizan en la actualidad, para penetrar las redes de una organización a través de sus usuarios finales.

3. Tiempo atrás, solo las compañías más concientizadas utilizaban un Firewall en sus perímetros mientras que la mayoría no lo hacían. En los últimos años, ese pensamiento fue cambiando al punto que actualmente no hay empresa que no sepa que debe colocar al menos un firewall para protegerse de “ciertas” amenazas. Hoy en día cada vez más compañías utilizan sistemas avanzados de detección y prevención de intrusos en su perímetro haciendo las tareas un poco difíciles a los atacantes casuales o script kiddies.

4. Introducción Los Servidores proveen los servicios con los cuales los clientes puedan interactuar. Estos servicios son accesibles por parte de los clientes que deseen hacer uso de ellos, lo que los expone a diversas vulnerabilidades que pueden ser atacadas. Simplemente ejecutando un servidor se pone a sí mismo en peligro, debido a que un hacker puede iniciar un ataque en el servidor en cualquier momento. Por ejemplo, un atacante podría enviar una petición HTTP maliciosa a un servidor web vulnerable y tratar de aprovechar los errores u otro comportamiento inesperado de la aplicación

5. Los ataques del lado del cliente son muy diferentes. Estos ataques se aprovechan de las vulnerabilidades en las aplicaciones cliente que interactúan con un servidor malicioso o datos de proceso malicioso. En el ataque del lado del cliente, el cliente inicia la conexión que podría resultar en un ataque. Si un cliente no interactúa con un servidor, no está en riesgo, porque no procesa los datos potencialmente dañinos enviados desde el servidor. Simplemente ejecuta un cliente de FTP sin necesidad de conectarse a un servidor FTP. Sin embargo, sólo tiene que poner en marcha una aplicación de mensajería instantánea para exponerse a este tipo de ataques, esto se puede observar cuando los clientes suelen configurar sus cuentas de mensajería para iniciar sesión automáticamente en un servidor remoto.

7. Ganar acceso- Cubrir las huellas

8. Reconocimiento Aquí el atacante obtiene toda la información de la víctima antes de realizar el ataque o un escaneo de la red a vulnerar creando así una estrategia para su ataque. Dentro de esta fase se pueden aplicar diversos métodos de obtención de información como por ejemplo: Ingeniería Social, utilizar herramientas para averiguar su tipo de sistema, los puertos abiertos del mismo, los routers que dispone la red, que host de los que hay en la red son más accesibles; es por ello que esta fase puede tomar mucho tiempo para realizar el ataque lo más preciso posible.

9. Escaneo En esta parte el atacante utiliza la información que obtuvo en la primera fase para identificar vulnerabilidades específicas, así por ejemplo se puede identificar el sistema operativo que utiliza la víctima y utilizar el ataque especifico, además se pueden escanear puertos y utilizar herramientas automatizadas para poder vulnerar dichos puertos.

10. Ganar acceso En esta fase el atacante explota las vulnerabilidades que encontró en la fase de escaneo. La explotación puede ocurrir localmente, o sobre el Internet y puede incluir técnicas como desbordamiento del buffer, negación de servicios, secuestro de sesión, y romper o adivinar claves. Los factores a tener en cuenta es el nivel de destrezas, habilidades y conocimientos sobre seguridad informática y redes que tenga el atacante y el nivel de acceso que obtuvo al principio de la penetración

11. Mantener el acceso Cuando el atacante gana acceso al sistema victima el objetivo es mantener el acceso que gano en el sistema. En esta parte el atacante usa sus recursos y recursos del sistema y usa el sistema objetivo como plataforma de lanzamiento de ataques para escanear y explotar a otros sistemas que quiere atacar, puede tener además la habilidad de subir, bajar y alterar programas y data.

12. Mantener acceso En esta fase el hacker quiere permanecer indetectable y para eso remueve evidencia de su penetración al sistema y utiliza métodos como puertas traseras para tratar de tener acceso a cuentas de altos privilegios como cuentas de Administrador, además pueden usar troyanos para transferir nombres de usuarios, passwords e incluso información de tarjetas de crédito almacenada en el sistema víctima.

13. Cubrir las huellas En esta parte el atacante destruye la evidencia de sus actividades realizadas con ello puede seguir manteniendo el acceso al sistema victima ya que al eliminar el registro de sus acciones malintencionadas, los encargados de controlar la red no podrán saber quién realizo el ataque y así el atacante seguirá teniendo acceso al sistema victima además borrando sus huellas evita ser llevado preso o acusado de algún delito.

14. Cubrir las huellas Las herramientas y técnicas que usa para esto son caballos de Troya, Steganography, Tunneling, Rootkits y la alteración de los “log files” (Archivos donde se almacenan todos los eventos ocurridos en un sistema informático y permite obtener información detallada sobre los hábitos de los usuarios), una vez que el Hacker logra plantar caballos de Troya en el sistema este asume que tiene control total del sistema

15. Operaciones realizadas en el lado-cliente porque: Requieren acceso a información o funcionalidades que están disponible en el cliente y no en el servidor. El usuario necesita ver o proveer las entradas. El servidor carece de la potencia necesaria como para realizar las operaciones en tiempo para todos los clientes a los que sirve. También, si las operaciones pueden ser hechas del lado del cliente, sin enviar datos a través de la red hacia el servidor, puede tomar menos tiempo, usar menos ancho de banda e incluso disminuir los riesgos de seguridad.

16. Los ataques pueden ser realizados por diversos tipos de documentos o presentaciones ppt, que buscan vulnerabilidades en nuestro computador, y que permiten ejecutar códigos arbitrarios para dañar nuestro ordenador u obtener una información específica. Pero también es conocido el exploit (herramienta utilizada para tomar ventaja de una vulnerabilidad) que afecta a los productos de lector de pdf.

17. El atacante en principio deberá montar un servidor que estará “muy atento” a conexiones provenientes de diversos usuarios engañados, el cual ejecutará una serie de exploits por cada conexión que reciba Tan simple como eso. Se diseña la estrategia y luego “se espera a que caigan”.

19. Conclusiones Los atacantes que ejecutan un Ataque Client-Side utilizan diferentes maneras de ataques ya sea a través de anuncios publicitarios, en un sitio web que parece inofensivo; así como también enviando documentos o archivos a través de cuentas de correos electrónicos, donde los usuarios por curiosidad pueden caer en la trampa y ser expuestos a serios peligros.

20. Conclusiones En la actualidad los ataques del Lado del Cliente son muy utilizados ya que van de la mano de que los usuarios finales no están prevenidos de una mejor forma en cuanto a las precauciones que deben tomar para evitar que delincuentes informáticos puedan violentar su información o lo que es peor a través de ellos puedan causar un daño mucho mayor a la empresa en donde laboran.

21. Recomendaciones Es importante entender una vez más que las debilidades explotadas no son nuevas, sino que lo nuevo es la manera de llevarlas a la práctica de una forma creativa

22. Recomendaciones Mantenga actualizado su navegador de internet Aplique los últimos parches y services packs del Sistema Operativo Sea cuidadoso al acceder a links enviados por correo o chat, así sean enviados por personas conocidas Tener el cortafuegos habilitado Aplicar políticas internas de actualización y mejora continua.

23. Bibliografía http://www.dragonjar.org/ http://www.community.com/ http://www.computerworld.com/ http://praetorianprefect.com/archives/2010/01/the-aurora-ie-exploit-in-action/comment-page-1/ http://wepawet.iseclab.org/view.php?hash=1aea206aa64ebeabb07237f1e2230d0f&type=js http://www.wisedatasecurity.com http://www.ongei.gob.pe/eventos/Programas_docu/Programa_360.pdf http://usuariodigital.com/como-fue-el-ataque-a-google-por-parte-de-china-2/ Fuente de Global Crossing http://www.honeynet.org http://www.coresolutions.com.ec