CONCEPTOS SEGURIDAD INFORMATICA USADOS POR HACKERS

VPN

La VPN es una tecnología de red que permite una extensión de la red local sobre una red pública o no controlada, como por ejemplo Internet.
El ejemplo más común es la posibilidad de conectar dos o más sucursales de una empresa utilizando como vínculo Internet, permitir a los miembros del equipo de soporte técnico la conexión desde su casa al centro de cómputo, o que un usuario pueda acceder a su equipo doméstico desde un sitio remoto.

Para hacerlo posible de manera segura es necesario proveer los medios para garantizar la autenticación, integridad y confidencialidad de toda la comunicación.

• Autenticación y autorización: ¿Quién está del otro lado? Usuario/equipo y qué nivel de acceso debe tener.
• Integridad: La garantía de que los datos enviados no han sido alterados. Para ello se utiliza un metodo de comparación (Hash).Los algoritmos comunes de comparacion son Message Digest(MD) y Secure Hash Algorithm (SHA).
• Confidencialidad: la información no debe poder ser interpretada por nadie más que los destinatarios de la misma. Se hace uso de algoritmos de cifrado como Data Encryption Standard (DES),Triple DES(3DES) y Advanced Encryption Standard (AES).
• No repudio, es decir un mensaje tiene que ir firmado, y el que lo firma no puede negar que el mensaje lo envió él.

Requerimientos Básicos

Identificación de Usuario

• Las VPN's (Redes Virtuales Privadas) deben verificar la identidad de los usuarios y restringir su acceso a aquellos que no se encuentren autorizados.

Codificación de Datos

• Los datos que se van a transmitir a través de la red pública (Internet), antes deben ser cifrados, para que así no puedan ser leídos. Esta tarea se realiza con algoritmos de cifrado como DES o 3DES.

Administración de claves

• Las VPN's deben actualizar las claves de cifrado para los usuarios.

Soporte a protocolos múltiples

• Las VPN's deben manejar los protocolos comunes, como son el Protocolo de Internet (IP), intercambio de paquetes interred (IPX), etc.

¿Qué es el tunneling?

El problema de los protocolos que envían sus datos en claro, es decir, sin cifrarlos, es que cualquier persona que tenga acceso físico a la red en la que se sitúan nuestras máquinas puede ver dichos datos.

Tunneling. - esta técnica consiste en abrir conexiones entre dos máquinas por medio de un protocolo seguro, como puede ser SSH (Secure SHell), a través de las cuales realizaremos las transferencias inseguras, que pasarán de este modo a ser seguras. siendo la conexión segura (en este caso de ssh) el túnel por el cual enviamos nuestros datos para que nadie más aparte de los interlocutores que se sitúan a cada extremo del túnel, pueda ver dichos datos.

Backdoor

Las puertas traseras (backdoors) se pueden comparar con los troyanos pero no son idénticas. Una puerta trasera permite a un usuario ("avanzado") actuar en una aplicación para cambiar su comportamiento. Es una secuencia especial dentro del código de programación mediante la cual el programador puede acceder o escapar de un programa en caso de emergencia o contingencia en algún problema.
A su vez, estas puertas también pueden ser perjudiciales debido a que los crackers al descubrirlas pueden acceder a un sistema en forma ilegal y aprovecharse la falencia. Las backdoors pueden ser un programa instalado o pueden ser una modificación a programas legítimos.

Los más conocidos mundialmente son el BackOrifice y el NetBus, dos de los primeros backdoors, que hasta nuestros días siguen vigentes aunque en menor cantidad dado que la mayoría de los programas antivirus los detectan. Otro muy conocido es el SubSeven, que también se encargó de infectar millones de ordenadores en el mundo.

No se quedan atrás a la continua evolución de los sistemas y de las herramientas de seguridad, lo que hace que tenga que recurrirse a nuevas ideas.

Un ejemplo son los accesos vía web, los servicios vía web y  técnicas como XML HTTP Request o AJAX, surgen herramientas de acceso vía web como PHPremoteshell, que ocultándolo y asignándole los permisos que necesita, permite el acceso desde cualquier navegador web sin tener que  instalar ninguna herramienta (evidentemente la víctima tiene que correr un  servicio web con soporte php), es ideal porque el firewall normalmente permite el trafico al puerto 80 (si se ofrece servicio web), e incluso hay herramientas para hacer conexiones reversas, también las hay capaces de mandar comandos a un servidor web externo, cosa que pasaría por los firewalls y proxies de salida sin problemas,con lo  cual es mas difícil aun de ser detectado.

Sniffers Backdoors

      Hay una nueva generacion de backdoors que funcionan rastreando todo el traficode red , estos programas ademas suelen incorporar algún tipo de cifrado para complicar aun mas la detección del trafico, suelen  estar programados usando libpcap, y a groso modo su funcionamiento es el siguiente :

• -Corren camuflados o simulando otro servicio
• -no abren puertos permanentemente
• -Rastrean todo el trafico de una interfaz
• -usan cifrado
• -Buscan cierto tipo de paquetes
• -cuando los encuentran los descifran
• -comprueban que tiene comandos para ellos
• -ejecutan los comandos
• -la respuesta la devuelven con IP spoofing

Back Orifice

Es un programa de control remoto de ordenadores que funciona bajo un servidor y un cliente. Si colocamos el servidor a otro ordenador remoto, es posible desde el cliente, gobernar cualquier función del ordenador remoto, entre los que destaca abrir y cerrar programas, controlar el CD, leer y modificar ficheros o borrar parte del disco duro. Para ello el servidor se autoejecuta y se borra cada vez que el ordenador ajeno se enciende, nuestro cliente escanea el puerto elegido y cuando este esta abierto actúa a través de él, desde un menú repleto de pestañas y opciones de control remoto.
Los dos componentes se comunican usando los protocolos de red TCP y UDP. Normalmente el programa usa el puerto 31337.

El trojan es distribuido en un paquete de varios programas con su documentación.
Todos los programas en el paquete tienen el formato "Portable Executable" de Windows y sólo pueden correrse bajo Win32.

El principal ejecutable en el paquete es el archivo BOSERVE.EXE . Es el "servidor" la parte del trojan que podría ser llamado por clientes de la computadora remota.

El segundo archivo es la utilidad BOCONFIG.EXE que puede configurar el servidor.

Lo único que un hacker tiene que hacer para obtener control total de la máquina de un usuario es mandarle, a través de un e-mail attachment, por ejemplo, un fichero servidor del BackOrifice. Una vez el usuario haya ejecutado este fichero, el hacker únicamente tiene que conocer la dirección IP del usuario para poder conectarse a dicha máquina.

Permite:
Conseguir y enviar el nombre de la computadora, nombre del usuario e información del sistema: tipo del procesador, tamaño de memoria, versión de Windows, discos (y otros drives) instalados y espacio libre en ellos. Compartir los discos seleccionados. Listar el contenido del disco o buscar un archivo específico. Enviar y recibir archivos (leer y escribir), pero también puede borrar, renombrar y ejecutar archivos. Crear y borrar directorios. Comprimir y descomprimir archivos. Desconectar al usuario actual. Detener a la computadora. Enumerar y enviar procesos activos. Enumerar y conectarse a los recursos de la red.  Conseguir y enviar contraseñas usadas, buscar contraseñas de salvadores de pantallas (las desencripta y las envía). Desplegar cajas de mensaje. Acceder al registro del sistema. Abrir y remitir otros sockets TCP/IP. Soporta HTTP (protocolos y emulaciones), así que se puede acceder al trojan a través de un browser. Ejecutar archivos de sonido. Atrapar y enviar todo lo tecleado por el usuario.

NetBus

Es bastante similar el BackOrifice, pero introduce otro peligro: también funciona bajo Windows NT. Al igual que el BackOrifice, el NetBus se trata de un programa cliente/servidor. El servidor por defecto escucha en el puerto 12345 UDP.
Al igual que el BackOrifice, el servidor NetBus también se está repartiendo por Internet bajo otro nombre. En este caso se esta distribuyendo como WHACKAMOLE.EXE, un juego que en realidad lleva escondido el servidor NetBus. Al ejecutar la instalación del juego, el programa de instalación también instalará el servidor NetBus.
Este troyano abre una backdoor para que alguien puede entrar al ordenador atacarlo y administrarlo, muchas veces sin que el dueño del ordenador se de cuenta.
Consiste en 2 partes: el servidor y el cliente. El cliente es el programa llamdo NetBus.exe y a partir de este se controla a la maquina invadida por el servidor. El servidor es el Patch.exe y si se le ejecuta abre una puerta trasera para que cualquiera que use el cliente puede empezar a administrarla.

Los puertos que utiliza el cliente del NetBus para conectarse son: 12345, 12346, 12456. Si a una computadora se le hace un escaneo de puertos y estos los tiene abiertos significa que tiene la puerta del NetBus abierta con altas posibilidades de ser atacada.


• Apertura y cierre de la bandeja.
• Muestra de imágenes GIF o JPG.
• Inversión de lo efectos de los botones del mouse.
• Ejecución de programas de sus directorios.
• Manejo de la administración de la mensajería.
• Saltos en las imágenes que muestra la pantalla.
• Información sobre el cliente/víctima.
• Ejecución de files WAV.
• Pateadura (Kick). Cierre total e inmediato del Windows de la víctima.
• Envio de mensajes generalmente no muy amistosos.
• Manejo de la administración del Windows de la víctima.
• Posicionamiento del mouse de la víctima.
• Sonidos al pulsar las teclas.
• Administración del sistema de sonidos.
• Envío directo a determinada página WEB.
• Borrado de archivos, copiado, renombrado, etc
• Downloads y uploads forzosos.

Victima

En este caso de que tú seas la víctima, lo que tienes que hacer para quitarte este Troyano de encima es:

Haz click en INICIO - Ejecutar - y escribes Regedit - una vez abierto este :
Te vas a HKEY_CURRENT_USER - Software - Microsoft - Windows - CurrentVersion - y despliegas la carpeta llamada Run ó Run- y alli estará el Troyano !! con extensió .exe y al final del mismo pondrá "/nomsg"(sin las comillas, claro). Apunta el nombre del archivo y el directorio donde esta; ahora lo único que tienes que hacer es borrarlo. Te preguntará algo así como "desea eliminar el registro" y contestas SI.

El último paso que queda es ir al directorio que apuntaste y borrarlo definitivamente del disco duro.