Ataques client side exploitation

ATAQUES CLIENT-SIDE EXPLOITATION
ISUMMIT LOXA 2010
Integrantes
Carlos Muñoz
Jonathan Cortez
Universidad Técnica Particular de Loja

Temática
Hace mucho tiempo que se hace común escuchar en seguridad que “el eslabón más débil de la cadena de seguridad es el usuario”, en realidad no hay nada más cierto que esto y por ello es que se han venido estudiando una serie de metodologías y técnicas más efectivas que se utilizan en la actualidad, para penetrar las redes de una organización a través de sus usuarios finales.

Tiempo atrás, solo las compañías más concientizadas utilizaban un Firewall en sus perímetros mientras que la mayoría no lo hacían. En los últimos años, ese pensamiento fue cambiando al punto que actualmente no hay empresa que no sepa que debe colocar al menos un firewall para protegerse de “ciertas” amenazas.
Hoy en día cada vez más compañías utilizan sistemas avanzados de detección y prevención de intrusos en su perímetro haciendo las tareas un poco difíciles a los atacantes casuales o script kiddies.

Introducción
Los Servidores proveen los servicios con los cuales los clientes puedan interactuar. Estos servicios son accesibles por parte de los clientes que deseen hacer uso de ellos, lo que los expone a diversas vulnerabilidades que pueden ser atacadas. Simplemente ejecutando un servidor se pone a sí mismo en peligro, debido a que un hacker puede iniciar un ataque en el servidor en cualquier momento. Por ejemplo, un atacante podría enviar una petición HTTP maliciosa a un servidor web vulnerable y tratar de aprovechar los errores u otro comportamiento inesperado de la aplicación

Los ataques del lado del cliente son muy diferentes. Estos ataques se aprovechan de las vulnerabilidades en las aplicaciones cliente que interactúan con un servidor malicioso o datos de proceso malicioso.
En el ataque del lado del cliente, el cliente inicia la conexión que podría resultar en un ataque. Si un cliente no interactúa con un servidor, no está en riesgo, porque no procesa los datos potencialmente dañinos enviados desde el servidor. Simplemente ejecuta un cliente de FTP sin necesidad de conectarse a un servidor FTP. Sin embargo, sólo tiene que poner en marcha una aplicación de mensajería instantánea para exponerse a este tipo de ataques, esto se puede observar cuando los clientes suelen configurar sus cuentas de mensajería para iniciar sesión automáticamente en un servidor remoto.

Desarrollo
Antes de poder conocer más a profundidad como se realiza un ataque del lado del cliente debemos conocer cuáles son las fases de ataque de un delincuente informático para explotar las diversas vulnerabilidades que se encuentran en los sistemas de usuarios finales:
- Reconocimiento
Escaneo
Ganar acceso
- Cubrir las huellas

Reconocimiento
Aquí el atacante obtiene toda la información de la víctima antes de realizar el ataque o un escaneo de la red a vulnerar creando así una estrategia para su ataque.

Dentro de esta fase se pueden aplicar diversos métodos de obtención de información como por ejemplo: Ingeniería Social, utilizar herramientas para averiguar su tipo de sistema, los puertos abiertos del mismo, los routers que dispone la red, que host de los que hay en la red son más accesibles; es por ello que esta fase puede tomar mucho tiempo para realizar el ataque lo más preciso posible.

Escaneo
En esta parte el atacante utiliza la información que obtuvo en la primera fase para identificar vulnerabilidades específicas, así por ejemplo se puede identificar el sistema operativo que utiliza la víctima y utilizar el ataque especifico, además se pueden escanear puertos y utilizar herramientas automatizadas para poder vulnerar dichos puertos.

Ganar acceso
En esta fase el atacante explota las vulnerabilidades que encontró en la fase de escaneo. La explotación puede ocurrir localmente, o sobre el Internet y puede incluir técnicas como desbordamiento del buffer, negación de servicios, secuestro de sesión, y romper o adivinar claves.

Los factores a tener en cuenta es el nivel de destrezas, habilidades y conocimientos sobre seguridad informática y redes que tenga el atacante y el nivel de acceso que obtuvo al principio de la penetración

Mantener el acceso
Cuando el atacante gana acceso al sistema victima el objetivo es mantener el acceso que gano en el sistema. En esta parte el atacante usa sus recursos y recursos del sistema y usa el sistema objetivo como plataforma de lanzamiento de ataques para escanear y explotar a otros sistemas que quiere atacar, puede tener además la habilidad de subir, bajar y alterar programas y data.

Mantener acceso
En esta fase el hacker quiere permanecer indetectable y para eso remueve evidencia de su penetración al sistema y utiliza métodos como puertas traseras para tratar de tener acceso a cuentas de altos privilegios como cuentas de Administrador, además pueden usar troyanos para transferir nombres de usuarios, passwords e incluso información de tarjetas de crédito almacenada en el sistema víctima.

Cubrir las huellas
En esta parte el atacante destruye la evidencia de sus actividades realizadas con ello puede seguir manteniendo el acceso al sistema victima ya que al eliminar el registro de sus acciones malintencionadas, los encargados de controlar la red no podrán saber quién realizo el ataque y así el atacante seguirá teniendo acceso al sistema victima además borrando sus huellas evita ser llevado preso o acusado de algún delito.

Cubrir las huellas
Las herramientas y técnicas que usa para esto son caballos de Troya, Steganography, Tunneling, Rootkits y la alteración de los “log files” (Archivos donde se almacenan todos los eventos ocurridos en un sistema informático y permite obtener información detallada sobre los hábitos de los usuarios), una vez que el Hacker logra plantar caballos de Troya en el sistema este asume que tiene control total del sistema

Operaciones realizadas en el lado-cliente porque:
Requieren acceso a información o funcionalidades que están disponible en el cliente y no en el servidor.
El usuario necesita ver o proveer las entradas.
El servidor carece de la potencia necesaria como para realizar las operaciones en tiempo para todos los clientes a los que sirve.
También, si las operaciones pueden ser hechas del lado del cliente, sin enviar datos a través de la red hacia el servidor, puede tomar menos tiempo, usar menos ancho de banda e incluso disminuir los riesgos de seguridad.

Los ataques pueden ser realizados por diversos tipos de documentos o presentaciones ppt, que buscan vulnerabilidades en nuestro computador, y que permiten ejecutar códigos arbitrarios para dañar nuestro ordenador u obtener una información específica. Pero también es conocido el exploit (herramienta utilizada para tomar ventaja de una vulnerabilidad) que afecta a los productos de lector de pdf.

El atacante en principio deberá montar un servidor que estará “muy atento” a conexiones provenientes de diversos usuarios engañados, el cual ejecutará una serie de exploits por cada conexión que reciba
Tan simple como eso. Se diseña la estrategia y luego “se espera a que caigan”.

Conclusiones
Los atacantes que ejecutan un Ataque Client-Side utilizan diferentes maneras de ataques ya sea a través de anuncios publicitarios, en un sitio web que parece inofensivo; así como también enviando documentos o archivos a través de cuentas de correos electrónicos, donde los usuarios por curiosidad pueden caer en la trampa y ser expuestos a serios peligros.

Conclusiones
En la actualidad los ataques del Lado del Cliente son muy utilizados ya que van de la mano de que los usuarios finales no están prevenidos de una mejor forma en cuanto a las precauciones que deben tomar para evitar que delincuentes informáticos puedan violentar su información o lo que es peor a través de ellos puedan causar un daño mucho mayor a la empresa en donde laboran.

Recomendaciones
Es importante entender una vez más que las debilidades explotadas no son nuevas, sino que lo nuevo es la manera de llevarlas a la práctica de una forma creativa

Recomendaciones
Mantenga actualizado su navegador de internet
Aplique los últimos parches y services packs del Sistema Operativo
Sea cuidadoso al acceder a links enviados por correo o chat, así sean enviados por personas conocidas
Tener el cortafuegos habilitado
Aplicar políticas internas de actualización y mejora continua.

Bibliografía
http://www.dragonjar.org/
http://www.community.com/
http://www.computerworld.com/
http://praetorianprefect.com/archives/2010/01/the-aurora-ie-exploit-in-action/comment-page-1/
http://wepawet.iseclab.org/view.php?hash=1aea206aa64ebeabb07237f1e2230d0f&type=js
http://www.wisedatasecurity.com
http://www.ongei.gob.pe/eventos/Programas_docu/Programa_360.pdf
http://usuariodigital.com/como-fue-el-ataque-a-google-por-parte-de-china-2/
Fuente de Global Crossing
http://www.honeynet.org
http://www.coresolutions.com.ec

Ataques client side exploitation

by jack_corvil on Feb 14, 2011

Accessibility

Categories

Tags

Upload Details

Usage Rights

Statistics

Ataques client side exploitation — Presentation Transcript