[ Documento traducido por Tahum@phreaker.net, ponte en contacto a esta direccion si encuentras imperfecciones en la traduccion. Gracias. ] Conoce tu enemigo Las herramientas y metedologias del Script Kiddie Honeynet Project Http://project.honeynet.org Ultima modificacion: 21 de Julio, 2000. Mi jefe me solia decir que para protegerte a ti mismo contra el enemigo, primero debias conocer quien era tu enemigo. Esta doctrina militar se aplica facilmente al mundo de la seguridad en red. Simplemente como los militares, tienes una informacion que intentas proteger. Para ayudar a la proteccion de estos datos, necesitas saber quienes son tus enemigos y como te van a atacar. Este articulo, el primero de varias series, simplemente hace esto, explica las herramientas y la metodologia de uno de las clases de atacantes mas comunes, el Script Kiddie. Si tu o tu organizacion tiene cualquier terminal conectado a Internet, este enemigo ira a por ti. Las series "Conoce tu enemigo" estan escritas para ense¤ar las herramientas, tacticas y motivos de la comunidad blackhat. "Conoce tu enemigo: II" se centra en como puedes detectar estos atacantes, detectar que herramientas estan usando y en que vulnerabilidades se centran. "Conoce tu enemigo: III" se fija en que pasara una vez ellos ganan privilegios de root. Concretamente, como borran sus huellas y que haran a continuacion. "Conoce tu enemigo: Resultados forenses" cubre como puedes analizar un ataque de ese tipo. "Conoce a tu enemigo: Motivos" explica los motivos y la psicologia de algunos miembros de la comunidad black-hat capturandu sus comunicaciones. Finalmente, "Conoce a tu enemigo: Gusanos en la guerra" relata como gusanos automatizados atacan sistemas Windows vulnerables. - Quien es el Script Kiddie? Script Kiddie es alguien que busca una presa facil. No buscan informacion especifica o una victima en concreto. Su objetivo es ganar de la forma mas facil posible privilegios de root. Ellos hacen esto centrando su actividad en la busqueda de un Exploit por toda Internet, que les permita explotar el sistema. Trde o temprano encontraran algo vulnerable. Algunos de ellos son usuarios avanzados que desarrollan sus propias herramientas y garantizan su futuro acceso mediante puertas traseras. Otros no saben lo que hacen y solo saben como escribir "go" en la linea de comandos. Independientemente de su nivel de conocimientos, comparten una estrategia comun, una busqueda aleatoria de cualquier vulnerabilidad, para a continuacion explotarla. - El peligro Es esta seleccion aleatoria de victimas lo que hace al script kiddie un peligro en potencia. Tarde o temprano tus sistemas seran probados, no puedes esconderte de ellos. Conozco administradores que estaban sorprendidos de que sus sistemas fueran escaneados cuando sus sistemas solo llevaban conectados un par de dias, y nadie los conocia. No hay nada de sorprendente en esto. Lo mas probable, es que sus sistemas fuesen escaneados por un Script Kiddie que escaneara ese rango de IPs determinado. Si esto estuviera limitado por los escaneos individiales, las estadisticas estarian a tu favor, ya que con millones de sistemas en Internet, las probabilididades nos hacen pensar que nadie podra encontrarte. Sin embargo, este no es el caso. La mayoria de las herramientas usadas por los script kiddies son faciles de usar y ampliamente distribuidas, cualquiera puede usarlas. Un rapido crecimiento de la cantidad de gente que poseen estas herramientas constituye un porcentaje alarmante. Dado que Internet no conoce fronteras geograficas, este peligro se ha difundido rapidamente a lo largo del mundo. De repente, las leyes numericas se estan volviendo contra nosotros. Con tantos usuarios en Internet usando estas herramientas, la pregunta no es si te va a suceder, sino cuando te sucedera. - La metodologia La metodologia del Script kiddie es simple. Escanea internet en busca de una vulnerabilidad especifica, cuando la encuentra, la explota. La mayoria de las herramientas que usan son automaticas, requieren poca interaccion. Puedes lanzar el escaneo, y volver algunos dias mas tarde para recoger los resultados. No hay dos herramientas iguales, simplemente dado que no hay dos exploits iguales. Sin embargo, la mayoria de las herramientas usan la misma estrategia. Primero, desarrollan una base de datos con IPs que pueden ser escaneadas. Entonces, escanean estas IPs en busca de una vulnerabilidad concreta. Por ejemplo, supongamos que un usuario tiene una herramienta capaz de explotar imap en sistemas Linux, como imapd_exploit.c. Primero, ellos desarrollaran una base de datos de direccioens IP que podrian escanear (por ej., sistemas conectados y alcanzables). Una vez construida esta base de IPs, el usuario buscara determinar que sistemas estan corriendo linux. Muchos escaneadores actuales lo hacen facilmente enviando paquetes mal formados a un sistema y viendo como responde, como el nmap de Fyodor. Entonces, estas herramientas se usaran para determinar que sistemas Linux estavan corriendo imap. Todo lo que queda es explotar estos sistemas vulnerables. Podrias pensar que este escaneo seria extremadamente ruidoso, que atraeria mucho la atencion. Sin embargo, mucha gente no monitoriza sus sistemas, y no se da cuenta de que estan siendo escaneados. Tambien, muchos script kiddies se centran en un solo sistema que puedan explotar. Una vez han explotado un sistema, usaran ese sistema como una rampa de lanzamiento. Ahora podrian escanear descaradamente Internet entera sin miedo a ser castigados, ya que si sus escaneos son detectados, el administrador de sistema tendra la culpa, y no el black-hat. Tambien, estos escaneos resultan tambien archivados o compartidos entre otros usuarios, para usarlos en un futuro. Por ejemplo, un usuario desarrolla una base de datos de los puertos abiertos en una maquina Linux determinada. El usuario constriye esta base de datos para explotar la vulnerabilidad actual de imap. Sin embargo, un mes mas tarde se identifica un nuevo exploit para Linux en un puerto diferente. En lugar de tener que construir una nueva base de datos (la cual es la parte que mas tiempo consume), el usuario puede rapidamente revisar su archivo de base de datos y comprometer los sistemas vulnerables. Como alternativa, los script kiddies comparten o eventualmente compran bases de datos de sistemas vulnerables los unos de los otros. Puedes ver ejemplos de esto en "Conoce tu enemigo: Motivos". El script kiddie puede entonces explotar tu sistema sin haberlo escaneado nunca. Simplemente porque tu sistema no haya sido escaneado recientemente no significa que te encuentres seguro. Los black-hats mas sofisticados instalan troyanos y puertas traseras una vez han comprometido el sistema. Las puertas traseras una facil y al mismo tiempo silenciosa entrada al sistema cuando el usuario quiera. Los troyanos hacen la intrusion indetectable. El podria no aparecer en ningun log, proceso del sistema, o estructura de archivos. El construye una confortable y segura casita donde el puede escanear Internet inpunemente. Para mas informacion, lee "Conoce tu enemigo: III" Estos ataques no se limitan a determinadas horas del dia. Muchos administradores buscan en sus logs las actividades del sistema por la noche, creyendo que es cuando los black-hats atacan. Los script kiddies atacan a cualquier hora. Como estan escaneando las 24h del dia, no sabes cuando sucedera. Asimismo, estos ataques se lanzan a lo largo del mundo. Por la simple razon de que Internet no conoce zonas geograficas, no hace ninguna distincion. Puede ser que medianoche los black-hats actuen, pero en tu zona horaria, es la 1 del mediodia. Esta metodologia de escaneo de sistemas vulnerables puede ser usada para multitud de propositos. Recientemente, nuevos ataques de Denegacion de Servicio se han dado a la luz, especificamente DDoS (Denegaciones Distribuidas de Servicio). Estos ataques se basan en el control por parte de una persona de cientos, sino miles de sistemas comprometidos a lo largo del mundo. Estos sistemas comprometidos son entonces coordinados de forma remota para ejecutar ataques de Denegacion de Servicio contra una o mas victimas. Dado que multiples sistemas comprometidos son usados, es extremadamente complicado defenderte contra el origen del ataque. Para ganar el control de varios sistemas, las tacticas de los script kiddies son a menudo usadas. Los sistemas vulnerables son identificados aleatoriamente y entonces comprometidos a ser usados como rampas de lanzamiento de ataques DDoS. A mas sistemas comprometidos, un ataque DDoS mas poderoso. Un ejemplo de este ataque es 'stacheldraht',. Para aprender mas acerca de los ataque de Denegacion de Servicio Distribuido y como protegerte de ellos, echa un vistazo al sitio web de Paul Ferguson, Denialinfo (www.denialinfo.com). - Las herramientas Las herramientas usadas son de un uso extremadamente sencillo. La mayoria se limitan a un proposito en concreto con unas pocas opciones. En primer lugar vienen las herramientas usadas para construir una base de datos de direcciones IP. Estas herramientas son escogidas aleatoriamente, a fin de escanear indiscriminadamente Internet. Por ejemplo, una herramienta posee una unica opcion, A,B o C. Esta letra que seleccionas determina el rango de red a ser escaneado. Esta herramienta entonces selecciona de forma aleatoria las direcciones IP a escanear. Otra herramienta usa un nombre de dominio (z0ne es un excelente ejemplo de esto). Esta herramienta hace una base de datos de direcciones IP transmitiendo las transferencias de zona del nombre de dominio y todos sus sub-dominios. El usuario tiene construida bases de datos con mas de 2 millones de IPs escaneando enteramente el dominio com o .edu. Una vez averiguado, las IPs son entonces escaneadas por herramientas que detectan vulnerabilidades, como la version de named, sistema operativo, o los servicios corriendo en tu sistema. Una vez los sistemas vulnerables han sido identificados, el black-hat ataca. Para una mejor comprension de como se usan estas herramientas, echale un ojo a "Conoce tu enemigo: Resultados forenses". - Como protegerte contra esta amenaza Hay medidas que puedes tomar para protegerte contra esta amenaza. Primero, el script kiddie ira por una presa facil, ellos buscan sistemas con fallos comunes. Asegurate de que tus sistemas y redes no son vulnerables a esos exploits. www.cert.org y www.ciac.org ambos son excelentes fuentes para informarte de lo que es un fallo comun. Tambien, la lista de correo bugtraq (archivada en securityfocus.com) es una de las mejores fuentes de informacion. Otra forma de protegerte a ti mismo es ejecutando solo los servicios que necesites. Si no necesitas un servicio, cierralo. Si lo necesitas, asegurate de que esta actualizado a su ultima version. Para ver ejemplos de como hacer esto, mirate "Blindando Solaris", "Blindando Linux" o "Blindando NT". Como has aprendido de esta seccion de herramientas, los servidores DNS son usados a menudo para desarrollar una base de datos de sistemas que pueden ser probados. Limita los sistemas que pueden conducir transferencias de zona de tus servidores de nombres. Loguea cualquier transferencia no autorizada y siguela. Recomendamos altamente actualizarse a la ultima version de BIND. Por ultimo, revisa tus sistemas, siendo probados. Una vez identificado, puedes seguir la pista de estas pruebas y ganar una mejor comprension de las amenazas de tu red y como reaccionar ante estos peligros. - Conclusion El script kiddie es un peligro para todos los sistemas. No muestran ningun perjuicio y escanean todos los sistemas, analizando su localizacion y valia. Tarde o temprano, tu sistema sera probado. Entendiendo sus motivos y sus metodos, puedes proteger mejor tus sistemas contra este peligro.