Ethical Hacking utilizando BackTrack - Fedora-es

More documents

Recommendations

Info

seguridad y ethical hacking El Arte de la Seguridad El Arte de la Seguridad Lino García Morales Casi se podría decir que no existe nada completamente seguro lo que incluye, por supuesto y con seguridad, cualquier sistema informático. La seguridad de un sistema depende de la fortaleza o debilidad con la que es capaz de reaccionar ante algún ataque. Se podría considerar que un ataque es cualquier interacción no prevista con el entorno que pueda alterar el comportamiento de un sistema. linux@software.com.pl En estas defi niciones se encuentran alguna de las claves de este arte, más que ciencia, que es la seguridad. En primer lugar existe riesgo sólo cuando existe interacción. Un sistema que funciona con programas bien intencionados y no interactúa con otros sistemas jamás podrá ser atacado. Pero los sistemas en la actualidad necesitan interactuar, se deben a ello; por lo que, en segundo lugar, el hecho no previsto de la interacción, proporciona otra clave. Los sistemas y programas normalmente se desarrollan para que satisfagan determinados comportamientos y reacciones ante eventos. De hecho, se testean hasta la saciedad para explorar todas las posibles combinaciones. Sin embargo, se suele subestimar el efecto que pueden provocar acciones y eventos no previstos; se le dedica menos esfuerzo, tiempo y comprobación (mi primera experiencia con este tema tuvo lugar durante el desarrollo de una aplicación de adquisición y supervisión de datos para un cliente de una empresa del sector industrial. El día que vino a probar la versión inicial lo primero que hizo fue tocar todo el teclado como un loco sin ninguna lógica y el programa reaccionó bloqueándose. En sólo unos pocos segundos quedó demostrada la vulnerabilidad de la aplicación. El error fue considerar 52 Linux+ 7-8/2009 sólo las opciones del teclado previstas). Se suele denominar hacker o cracker, a aquella fi gura que pone a prueba, ataca, estas opciones no previstas o debilidades (normalmente para conseguir algún benefi cio, aunque a veces sólo sea una incomprensible satisfacción personal o reforzamiento del ego) y administrador justo al encargado de evitarlo o, al menos, de aumentar la difi cultad. Las consecuencias de esta lucha pueden ser muy graves pero cuanto más inteligente y sofi sticado es el mecanismo que asegura la seguridad de un sistema mayor es el reto de vulnerarlo. Esta dialéctica endemoniada, a través de un mecanismo no menos diabólico de actualización, asegura el futuro de la seguridad y la convierte en arte. La sofi sticación de la seguridad es una relación de compromiso entre fortaleza ante el intruso y prestaciones del sistema porque, no hay que olvidar que toda la funcionalidad introducida para hacer el sistema más robusto consume recursos: tiempo de proceso, espacio en memoria, en disco duro, ancho de banda, etc. En cualquier caso, esta negociación debe estar clara mediante una política de seguridad que establezca el nivel de seguridad que requiere el sistema (o conjunto de sistemas) y un sistema de comprobación. El RFC 2196 (http:// www.faqs.org/rfcs/rfc2196.html) es un ejemplo muy conoci-
do de política de seguridad. Para establecer una política de seguridad correcta es importante valorar qué está en juego, cuánto tiempo y dinero costará recuperarlo. De la seguridad existen libros, másteres (como el Máster Universitario en Seguridad de Tecnologías de la Información y Comunicaciones,http://www.uem.es/postgrado/master-oficial-en-seguridad-de-las-tecnologias-de-la-informacion-y-las-comunicaciones, de la UEM), innumerables páginas, enlaces y referencias. Es un tema del cual sobre todo administrador y pirata sacan beneficio así que, en este artículo, nos limitaremos a tratar sólo algunos aspectos relevantes. Existen varios elementos que nos permiten valorar la seguridad de un sistema. • Riesgo. Posibilidad de acceso al sistema por un intruso. La lectura de un documento, por ejemplo, puede ser considerada de alto riesgo, en dependencia del nivel de confidencialidad; pero la posibilidad de copiar y ejecutar un programa en un sistema es intrínsecamente de extremado riesgo. Un programa puede borrar todo el sistema de archivos, modificar malintencionadamente a otros para alterar su funcionamiento, etc. • Amenaza. Cualquier usuario susceptible de acceder, sin autorización, al sistema. El secreto es seguro sólo si no se comparte. El intruso puede ser un curioso (cotilla de información y datos), malintencionado (con clara intención de hacer daño), experto (utiliza el ataque para promocionar su ingenio), competencia (sin comentarios). • Vulnerabilidad. Describe tanto el nivel de protección del sistema como la posibilidad potencial de acceso sin autorización. Los requisitos de seguridad se pueden resumir en: • Disponibilidad. Mantener la información y los recursos de acuerdo con los requisitos de uso. Debe garantizar que no se limite el acceso autorizado a la información y el correcto funcionamiento de los recursos. • Integridad. Toda la información, almacenada en los sistemas o en circulación por la red, debe estar protegida contra la modificación no autorizada. Que la información sólo pueda ser modificada por las entidades autorizadas. • Autenticidad. Toda la información, en circulación por la red, debe permanecer protegida ante falsificaciones. La autenticidad requiere mecanismos de identificación correctos, asegurando que las comunicaciones se realizan entre entidades legítimas. Figura 1. Kevin D. Mitnik es un Hacker reconvertido en consultor de seguridad • Confidencialidad. Se debe evitar la difusión no autorizada de la información. Requiere que la información sea accesible únicamente por las entidades autorizadas. • No rechazo. Mecanismos necesarios para que nadie pueda negar que haya realizado una determinada comunicación. La seguridad en Linux Las fuentes del núcleo de Linux son abiertas. Cualquiera puede obtenerlas, analizarlas y modificarlas. Este modelo de desarrollo abierto, que siguen tanto Linux como la mayoría de las aplicaciones que se ejecutan sobre él, conduce a altos niveles de seguridad. Cualquiera puede acceder al código fuente para encontrar las debilidades, pero el tiempo que tarda en aparecer la solución para cualquier debilidad se mide más en horas que en días. Gracias a esto, Linux es conocido por su alto nivel de estabilidad que parte del propio núcleo del sistema operativo (lo que propiamente es Linux). Linux tiene disponibles todos los servicios habituales en una red: bases de datos, servicios de internet, servicio de ficheros e impresión y las utilidades necesarias para mantener el nivel de seguridad requerido. Cada servicio funciona sin afectar al resto de los servicios. En particular, en Linux es necesario proteger ciertos ficheros que contienen información sobre los usuarios (/etc/passwd, /etc/shadow), los ficheros de configuración del sistema (los contenidos en /etc), el acceso al sistema para que se realice según marca la política prevista y la correcta utilización de los recursos para evitar abusos. Niveles de Seguridad Seguridad Física. Linux proporciona los niveles exigibles de seguridad física para un sistema operativo: arranque seguro, posibilidad de blo- www.lpmagazine.org seguridad y ethical hacking El Arte de la Seguridad quear las terminales y, por supuesto, las capacidades de un sistema multiusuario real. LILO (Linux Loader) es el encargado de cargar el sistema operativo en memoria y pasarle información; constituye el mecanismo inicial de identificación o control de acceso para el uso de Linux mediante la verificación de dos datos: login y password (nombre y clave). Puede encontrar más detalles en las páginas del manual lilo y lilo.conf. Para ello, introduzca en la línea de comandos las siguientes órdenes: # man lilo #man lilo.conf Una forma fácil de apropiarse del nombre/clave de un usuario incauto es simulando, en una terminal inocentemente abierta, la presentación del sistema. Para evitar falsas consolas, si se aleja de su máquina de vez en cuando, es aconsejable que bloquee su consola, mediante xlock y block, para que nadie pueda manipularla o mirar su trabajo; aunque esto no previene de reinicios de la máquina u otras formas de deteriorar su trabajo. Seguridad Local. Linux es un sistema operativo multiusuario real: puede haber varios usuarios trabajando simultáneamente con él, cada uno en su terminal. Según las estadísticas, el mayor porcentaje de violaciones de un sistema son realizadas por usuarios locales. El sistema no sólo debe protegerse de violaciones intencionadas, sino también de operaciones accidentales debidas a descuidos o ignorancia de los usuarios. Linux dispone de todas las características de los sistemas Unix: un control de acceso a los usuarios verificando una pareja de usuario y clave; cada fichero y directorio tienen sus propietarios y permisos. La meta de la mayoría de los ataques es conseguir acceso como root, lo que garantiza un control total sobre el sistema. Primero se intenta conseguir acceso como usuario 53
Page 3 and 4: a modo de introducción ¿Un hacker
Page 5 and 6: 58 Tema del número Seguridad y Eth
Page 7 and 8: Figura 2. Configuración xfc que no
Page 9 and 10: contenidos del servicio LastFM (cuy
Page 11 and 12: Si no puedes leer el disco DVD y no
Page 13 and 14: Build Service se va a Linux Foundat
Page 15 and 16: Fedora 11 usará Nouveau por defect
Page 18 and 19: seguridad y ethical hacking BackTra
Page 20 and 21: 20 seguridad y ethical hacking Back
Page 28 and 29: seguridad y ethical hacking Xprobe2
Page 30 and 31: 30 seguridad y ethical hacking Xpro
Page 32 and 33: seguridad y ethical hacking Hacking
Page 38: seguridad y ethical hacking Hacking
Page 42 and 43: seguridad y ethical hacking Criptog
Page 44 and 45: 44 seguridad y ethical hacking Crip
Page 50 and 51: seguridad ECOPFN ECOPFN - Plataform
Page 54 and 55: 54 seguridad y ethical hacking El A
Page 56 and 57: 56 seguridad y ethical hacking El A
Page 58 and 59: seguridad y ethical hacking Histori
Page 60 and 61: 60 seguridad y ethical hacking Hist
Page 62: 62 seguridad y ethical hacking Hist
Page 65 and 66: Pedido de suscripción Por favor, r
Page 67 and 68: Figura 1. Pantalla de Cinelerra 2.1
Page 69 and 70: Figura 5. Opciones a la hora de ins
Page 71 and 72: Licencia del presente artículo Est
Page 73 and 74: Agradecimientos En este apartado, m
Page 75 and 76: Al igual que ocurre con SELECT, pod
Page 77 and 78: Figura 4. Diseño de nuestra Tabla
Page 79 and 80: Listado 1. Conexión a la Base de D
Page 81 and 82: Figura 7. Sitio web de GambasRAD Fi
Page 84 and 85: programación php - Muuu Forms Form
Page 86 and 87: 86 programación php - Muuu Forms F
Page 88 and 89: 88 programación php - Muuu Forms L
Page 90 and 91: El tema principal del siguiente nú

Ethical Hacking utilizando BackTrack - Fedora-es

Create successful ePaper yourself

Delete template?

Save as template?