Envenenamiento de la red: poisoning

 

La técnica de poisoning o envenenamiento consiste en redireccionar el tráfico de usuarios lícitos a sitios usualmente controlados por un atacante. Esta técnica suele implementarse a partir de la manipulación de los protocolos ARP y DNS.

El ARP poisoning, también conocido como ARP spoofing, consiste en generar peticiones y respuestas ARP modificadas con el objetivo de asociar la dirección MAC del atacante con la dirección IP del gateway. De este modo, todo el tráfico de ese segmento pasará primero por el atacante, que podrá analizarlo y redirigirlo luego hacia el destino final. Un modo de protegerse frente al ARP spoofing es utilizando tablas ARP estáticas.

Si bien esto previene la implementación de esta técnica, puede tornar dificultosa y compleja la administración de entornos grandes. Un método alternativo se basa en usar aplicaciones para detección de cambios de las tablas ARP (arpwatch, por ejemplo) e implementar el uso de la seguridad de puerto que poseen algunos switches para evitar cambios en las direcciones MAC.

IMG1. Manual de la herramienta arpwatch, utilizada para detectar cambios en la asociación entre direcciones MAC e IP.

Adicionalmente, y tal como se mira una técnica de análisis de tráfico, la segmentación de las redes reduce la visibilidad del segmento que un atacante tiene al lanzar este ataque, con lo cual también es una buena medida complementaria.

IMG2. Ataque de ARP Spoofing a un Host.

IMG3. Identificación del ARP Spoofing a través de Wireshark.

Por otro lado, tal como hemos mencionamos, otro de los protocolos que, por sus particularidades, suele ser blanco de ataques de estas características es el DNS. La técnica de DNS cache poisoning consiste en hacer de manera maliciosa que un servidor DNS reciba datos de una fuente no autoritativa, de manera tal de contaminar su tabla caché.

Así, si un atacante puede controlar dicha tabla, podrá modificar la relación entre la dirección IP y la URL asociada, haciendo que cuando un cliente lícito quiera acceder a un sitio web, en realidad acceda a otro controlado por el atacante. Por ejemplo, supongamos que el sitio web al que deseamos acceder es www.facebook.com, y la dirección IP asociada es la 98.129.229.166. Mediante la modificación de su caché, podríamos hacer que, cuando un usuario acceda a www.facebook.com, en vez de dirigirse a la IP 98.129.229.166, termine accediendo a otra IP controlada por el atacante.

En esta nueva dirección IP, el atacante podría tener levantado un servidor web malicioso de similares características, que disfrace a través de herramientas de Ingeniería Social.

Este ataque puede deberse a fallas en la implementación de los sistemas, vulnerabilidades en la aplicación DNS, falta de configuración del servidor y escenarios perniciosamente diseñados que explotan la arquitectura de un DNS. Una vez que un servidor DNS ha recibido datos maliciosos y los almacena temporalmente para futuros incrementos de desempeño, es considerado envenenado, y extiende el efecto a los clientes del servidor.

El lector atento notará que, en este caso, el usuario poco puede hacer para protegerse de este ataque, ya que la vulnerabilidad siempre está en el servidor DNS.

Técnicas de Mitigación contra DNS Spoofing.

• Supervisar y filtrar el tráfico DNS de forma exhaustiva.

• Proteger los DNS agregando DNSSEC.

• Parchar regularmente los servidores DNS.

• Demostrar si el servidor de nombres autorizado coincide con lo que se responde localmente.

• Usar VPN (una red privada virtual), especialmente si se van a enviar datos confidenciales.

• Buscar señales de seguridad y autenticidad en los sitios web antes de escribir cualquier dato.

• Evita abrir enlaces extraños.

• Cifrado de extremo a extremo: este método cifra la solicitud de datos de DNS y mantiene alejados a los atacantes, ya que no es posible que dupliquen la licencia de seguridad única del sitio web.

• Actualizaciones de DNS: para ayudar a protegerse contra los atacantes de DNS, las versiones actualizadas de DNS incluyen aleatorización de puertos e ID de transacciones criptográficamente seguras. Asegúrese de que el servidor que se utiliza esté siempre actualizado.

Técnicas de Mitigación contra ARP Spoofing.

• Confíe en las VPN (Redes Privadas Virtuales): Una forma de evitar que ocurra la suplantación de ARP en primer lugar es confiar en las redes privadas virtuales (VPN). Cuando se conecta a Internet, normalmente primero se conecta a un proveedor de servicios de Internet (ISP) para conectarse a otro sitio web. Sin embargo, cuando usa una VPN, está usando un túnel encriptado que bloquea en gran medida su actividad de los piratas informáticos que suplantan ARP. Tanto el método por el que realiza la actividad en línea como los datos que pasan por ella están encriptados.

• Usar un ARP estático: La creación de una entrada ARP estática en su servidor puede ayudar a reducir el riesgo de suplantación de identidad. Si tiene dos hosts que se comunican regularmente entre sí, la configuración de una entrada ARP estática crea una entrada permanente en su caché ARP que puede ayudar a agregar una capa de protección contra la suplantación de identidad.

• Obtenga una herramienta de detección: Incluso con el conocimiento y las técnicas de ARP implementados, no siempre es posible detectar un ataque de suplantación de identidad. Los piratas informáticos se vuelven cada vez más sigilosos para pasar desapercibidos y utilizan nuevas tecnologías y herramientas para adelantarse a sus víctimas. En lugar de centrarse estrictamente en la prevención, asegúrese de contar con un método de detección. El uso de una herramienta de detección de terceros puede ayudarlo a ver cuándo se está produciendo un ataque de suplantación de identidad para que pueda detenerlo en el momento.

• Evite las relaciones de confianza: Algunos sistemas se basan en relaciones de confianza de IP que se conectarán automáticamente a otros dispositivos para transmitir y compartir información. Sin embargo, debe evitar por completo confiar en las relaciones de confianza de IP en su empresa. Cuando sus dispositivos usan direcciones IP solo para verificar otra máquina o la identidad de un usuario, es fácil que un hacker se infiltre y falsifique su ARP. Otra solución es confiar en inicios de sesión y contraseñas privadas para identificar a los usuarios. Sea cual sea el sistema que elija para validar a sus usuarios, necesita políticas de protección establecidas en su organización. Esta sencilla técnica puede crear una capa adicional de protección y realizar un seguimiento de quién intenta acceder a sus sistemas.

• Configurar filtrado de paquetes: Algunos atacantes ARP enviarán paquetes ARP a través de la LAN que contienen la dirección MAC del atacante y la dirección IP de la víctima. Una vez que se han enviado los paquetes, un atacante puede comenzar a recibir datos o esperar y permanecer relativamente desapercibido mientras se prepara para lanzar un ataque de seguimiento. Y cuando un paquete malicioso se ha infiltrado en su sistema, puede ser difícil detener un ataque de seguimiento y asegurarse de que su sistema esté limpio. El filtrado y la inspección de paquetes pueden ayudar a detectar paquetes envenenados antes de que lleguen a su destino. Puede filtrar y bloquear paquetes maliciosos que muestren cualquier fuente de información conflictiva.

• Configuración de monitoreo de malware: Las herramientas antivirus y de malware que ya utilizan pueden ofrecer algún recurso contra la suplantación de identidad ARP. Mire su configuración de monitoreo de malware y busque categorías y selecciones que monitoreen el tráfico ARP sospechoso desde los puntos finales. También debe habilitar cualquier opción de prevención de suplantación de ARP y detener cualquier proceso de punto final que envíe tráfico ARP sospechoso.

Read More

¡Bloquea la Publicidad y Malware a través de DNS con PIHOLE!

Los Adware y Sitios maliciosos que pueden contener Malware abundan en el internet que conocemos el día de hoy, la publicidad está en todos lados que resulta realmente muy molesta al navegador por internet y aunque existen otros métodos para el bloqueo de la publicidad como por ejemplo, agregando extensiones AntiAdware al navegador, estás soluciones suelen resultar parciales y se limita a un sólo usuario, mientras que el resto de los usuarios de la red pueden seguir visualizando y dando clics en anuncios maliciosos, adquiriendo con ello Virus Informáticos.

Para bloquear de una forma gratuita y open source, los anuncios y sitios maliciosos para todos los usuarios en nuestra red, se puede hacer uso de la herramienta Pi-Hole.

Pi-Hole es un sumidero de DNS que protege sus dispositivos de contenido no deseado, sin instalar ningún software del lado del cliente.

Además de bloquear anuncios, Pi-hole tiene una interfaz web informativa que muestra estadísticas sobre todos los dominios que se consultan en su red. Servidor DHCP integrado Pi-hole funciona bien con un servidor DHCP existente, pero puede usar Pi-hole para mantener la administración de su red en un solo lugar, además de administrar listas blancas y negras de sitio web's.

Características de Pi-Hole:

• Fácil de instalar : El instalador versátil lo guía a través del proceso y toma menos de diez minutos.

• Resuelto : el contenido está bloqueado en ubicaciones que no son del navegador , como aplicaciones móviles cargadas de anuncios y televisores inteligentes.

• Responsivo : acelera sin problemas la sensación de la navegación diaria al almacenar en caché las consultas de DNS.

• Ligero : funciona sin problemas con requisitos mínimos de hardware y software.

• Robusta : una interfaz de línea de comandos con garantía de calidad para la interoperabilidad.

• Perspicaz : un hermoso panel de interfaz web receptivo para ver y controlar su Pi-hole.

• Versátil : opcionalmente puede funcionar como un servidor DHCP , asegurando que todos sus dispositivos estén protegidos automáticamente.

• Escalable : capaz de manejar cientos de millones de consultas cuando se instala en hardware de servidor.

• Moderno : bloquea los anuncios tanto en IPv4 como en IPv6.

• Gratis : software de código abierto que ayuda a garantizar que usted es la única persona que controla su privacidad.

Pi-Hole puede ser instalado en una Raspberry Pi sin problema o en cualquier sistema linux con distribuciones que utilicen systemd o sysvinit.

Requisitos previos

Hardware

Pi-hole es muy liviano y no requiere mucha potencia de procesamiento.

• Mínimo 2 GB de espacio libre, se recomiendan 4 GB
• 512 MB de memoria RAM

Sistemas operativos compatibles

Los siguientes sistemas operativos son compatibles oficialmente:

Puede realizar los pasos de la documentación oficial de Pi-Hole para su correcta instalación en: https://docs.pi-hole.net/main/basic-install/

El funcionamiento de Pi-Hole una vez instalado es muy sencillo, al instalarlo hay que considerar asignarle un dirección IP de nuestro segmento de red estática y una vez esté instalado y corriendo en la dirección IP local que le asignamos, tenemos que agregar la dirección de Pi-Hole como servidor DNS primario en nuestro router o en nuestros dispositivos, de tal manera, que todas las solicitudes DNS que se hagan desde nuestra red local pasen por los filtros y cache de Pi-Hole, asiendo la navegación más rápida y segura.

Para obtener más información sobre el funcionamiento de Pi-Hole, los invito a visitar su Web Site Oficial: https://pi-hole.net/

Read More

Métodos de infiltración

 

Ingeniería social

La ingeniería social es la manipulación a las personas para que realicen acciones o divulguen información confidencial. Los ingenieros sociales con frecuencia dependen de la disposición de las personas para ayudar, pero también se aprovechan de sus vulnerabilidades. Por ejemplo, un atacante llamará a un empleado autorizado con un problema urgente que requiere acceso inmediato a la red y apelará a la vanidad o la codicia del empleado o invocará la autoridad mediante el uso de técnicas de eliminación de nombres para obtener este acceso.

Denegación de servicio

Los ataques de denegación de servicio (DoS) son un tipo de ataque de red que es relativamente sencillo de llevar a cabo, incluso por parte de un atacante no cualificado. Un ataque DoS da como resultado cierto tipo de interrupción del servicio de red a los usuarios, los dispositivos o las aplicaciones.

Los ataques de DoS se consideran un riesgo importante porque pueden interrumpir fácilmente la comunicación y causar una pérdida significativa de tiempo y dinero.

DoS distribuido

Un ataque DoS distribuido (DDoS) es similar a un ataque DoS pero proviene de múltiples fuentes coordinadas. Por ejemplo:

• Un atacante crea una red (botnet) de hosts infectados llamados zombies, que son controlados por sistemas de manejo.
• Las computadoras zombis constantemente analizan e infectan más hosts, creando más y más zombis.
• Cuando está listo, el hacker proporciona instrucciones a los sistemas manipuladores para que los botnet de zombies lleven a cabo un ataque de DDoS.

Botnet

Una computadora bot se infecta generalmente por visitar un sitio web, abrir un elemento adjunto de correo electrónico o abrir un archivo de medios infectado. Una botnet es un grupo de bots, conectados a través de Internet, que pueden ser controlados por un individuo o grupo malintencionado. Puede tener decenas de miles, o incluso cientos de miles, de bots que normalmente se controlan a través de un servidor de comando y control.

Estos bots se pueden activar para distribuir malware, lanzar ataques DDoS, distribuir correo electrónico no deseado o ejecutar ataques de contraseña por fuerza bruta. Los ciberdelincuentes suelen alquilar botnets a terceros con fines nefastos.

Muchas organizaciones, como Cisco, fuerzan las actividades de red a través de filtros de tráfico de botnet para identificar cualquier ubicación de botnet.

Ataques en el camino

Los atacantes en ruta interceptan o modifican las comunicaciones entre dos dispositivos, como un navegador web y un servidor web, ya sea para recopilar información de uno de los dispositivos o para hacerse pasar por uno de ellos.

Este tipo de ataque también se conoce como ataque de hombre en el medio o de hombre en el móvil.

• Hombre en el medio (MITM): Un ataque MiTM ocurre cuando un ciberdelincuente toma el control de un dispositivo sin que el usuario lo sepa. Con ese nivel de acceso, el atacante puede interceptar y capturar información sobre el usuario antes de retransmitirla a su destino. Estos tipos de ataques se utilizan a menudo para robar información financiera. Hay muchos tipos de malware que poseen capacidades de ataque MiTM.
• Hombre en el móvil (MITMO): Una variación del hombre en el medio, el MitMo es un tipo de ataque utilizado para tomar el control de un dispositivo móvil. Cuando está infectado, el dispositivo móvil recibe instrucciones de filtrar información confidencial del usuario y enviarla a los atacantes. ZeUS es un ejemplo de paquete de malware con capacidades MitMO. Permite a los atacantes capturar silenciosamente los mensajes SMS de verificación en dos pasos que se envían a los usuarios.

Envenenamiento SEO

Probablemente hayas oído hablar de la optimización de motores de búsqueda o SEO que, en términos simples, se trata de mejorar el sitio web de una organización para que gane una mayor visibilidad en los resultados de los motores de búsqueda.

Ataques de contraseña

La introducción de un nombre de usuario y una contraseña es una de las formas más populares de autenticarse en un sitio web. Por lo tanto, descubrir su contraseña es una forma fácil para que los ciberdelincuentes accedan a su información más valiosa.

• Pulverización de contraseña: Esta técnica intenta obtener acceso a un sistema «rociando» algunas contraseñas de uso común en un gran número de cuentas. Por ejemplo, un ciberdelincuente utiliza «Password123» con muchos nombres de usuario antes de volver a intentarlo con una segunda contraseña de uso común, como «qwerty». Esta técnica permite que el perpetrador permanezca sin ser detectado, ya que evita los bloqueos frecuentes de la cuenta.
• Ataques de diccionario: Un hacker intenta sistemáticamente todas las palabras de un diccionario o una lista de palabras de uso común como contraseña en un intento de ingresar a una cuenta protegida con contraseña.
• Ataques por fuerza bruta: Son la forma más simple y más utilizada de obtener acceso a un sitio protegido con contraseña. Los ataques de fuerza bruta ven a un atacante utilizando todas las combinaciones posibles de letras, números y símbolos en el espacio de contraseñas hasta que lo hacen bien.
• Ataques arco iris: Las contraseñas de un sistema informático no se almacenan como texto sin formato, sino como valores con hash (valores numéricos que identifican datos de forma única). Una tabla arcoíris es un gran diccionario de valores hash precalculados y las contraseñas a partir de las cuales se calcularon. A diferencia de un ataque de fuerza bruta que tiene que calcular cada hash, un ataque de arco iris compara el hash de una contraseña con los almacenados en la tabla rainbow. Cuando un atacante encuentra una coincidencia, identifica la contraseña utilizada para crear el hash.
• Interceptación de tráfico: El texto sin formato o las contraseñas sin cifrar pueden ser leídas fácilmente por otras personas y máquinas al interceptar las comunicaciones. Si almacena una contraseña en texto claro y legible, cualquier persona que tenga acceso a su cuenta o dispositivo, ya sea autorizado o no, podrá leerlo.

Read More

Obtén información valiosa sobre el estado de tu procesador con CPU-Z

¿Qué es CPU-Z?

CPU-Z es un freeware que recopila información sobre algunos de los principales dispositivos del sistema: 

Nombre y número del procesador, nombre en clave, proceso, paquete, niveles de caché. Placa base y chipset. Tipo de memoria, tamaño, tiempos y especificaciones del módulo (SPD). Medición en tiempo real de la frecuencia interna de cada núcleo, frecuencia de memoria.

CPU-Z es una aplicación gratuita que ha existido durante más de 20 años. Las CPU modernas contienen un conjunto de instrucciones que, cuando se activan, proporcionan una gran cantidad de información sobre el procesador. Además de los CPU de la computadora, también muestra información similar sobre la placa base y la memoria del sistema, que incluye:

• Nombre y número del procesador, nombre en clave, proceso, paquete, niveles de caché.
• Mainboard and chipset.
• Tipo de memoria, tamaño, tiempos y especificaciones del módulo (SPD).
• Medición en tiempo real de la frecuencia interna de cada núcleo, frecuencia de memoria.

CPU-Z también contiene un punto de referencia de CPU simple y una prueba de esfuerzo; puede cargar sus resultados en su sitio web y compartir sus estadísticas.

Sitio Web Oficial para su descarga: https://www.cpuid.com/softwares/cpu-z.html

Read More

DHCP SPOOFING

 

Esta tecnología permite a los switches analizar los mensajes DHCP, y aprender las asociaciones entre direcciones IP y MAC. La idea principal es que el switch permita tráfico DCHP solamente con servidores DHCP autorizados.

Este tipo de tecnología marca la nueva tendencia de los switches inteligentes, según la cual el dispositivo no solamente se limita a retransmitir paquetes, sino que también se encarga de analizar el tráfico y bloquear los ataques más comunes.

El DHCP Snooping también bloquea los ataques del tipo DHCP Starvation, en los cuales un atacante envía muchísimas peticiones DHCP con el objetivo de agotar todas las direcciones IP disponibles en el servidor.

Read More