En las navidades de 1994 se produjo uno de los hechos que podemos decir, mas fascinantes desde el punto de vista de la seguridad informatica y probablemente un gran caso de estudio,
En esas fechas, quizas el hacker mas conocido del mundo intento robar ficheros a uno de los expertos mas conocidos de la seguridad y consultor famoso, Shimomura. Este hecho nos lleva a reflexionar sobre multiples aspectos a tener en cuenta a la hora de proteger nuestras redes, servidores y sobre todo, nuestros datos.
Resumo brevemente lo ocurrido.
Shimomura protegio sus sistemas en su domicilio, pues tenia en cuenta un posible ataque contra sus servidores, asi que al ser conocido, probablemente alguien intentara por fama "hackearle", este constaba de un servidor al que solo se podia acceder desde una maquina cliente, con lo cual empezamos con una relacion de confianza entre las maquinas internas. El sistema operativo cliente y el sistema operativo del servidor en ejecucion era un Sistema Operativo Solaris, de Sun Microsystems, especificamente la version 4 de este (SunOS4) y tenia una red conectada permanentemente a Internet, en la que tenia registrado el dominio "toad.com"
Aprovechando unas vacaciones de Shimomura en las que estaba de viaje en casa de un amigo en San Francisco, y Mitnick comenzo con su ataque.
Para empezar, ejecuto sentencias FINGER para chequear los usuarios tipicos de un sistema, y asi conocer que usuarios hay y las relaciones en las que los equipos confian entre si. Finger es un comando que te responde facilmente ante preguntas de usuarios.
Para continuar, realizo un ataque de denegacion de servicio DoS mediante SYN flood, asi consiguio bloquear en un primer lugar al servidor, de esta forma, el atacante silencia al servidor, que al silenciarse no puede generar ninguna advertencia.
Una vez silenciado el servidor, el atacante va a por la maquina cliente comprobando debilidades en la pila TCP, de forma que mediante SYN/ACK va aprendiendo como se establecen las conexiones en la relacion de confianza. Estos intentos de conexion se realizaban desde apollo.it.luc.edu,
Una vez chequeado, el stack tcp, el atacante encuentra una forma de conectarse y mediante spoofing, consigue simular al servidor atacado que no da signos de funcionamento y consigue abrir un socket o puerto en el cliente X.
Para finalizar, una vez abierta una sesion, usara #rlogin -l root" para tomar el control de la maquina cliente.
Este hecho, nos da que pensar cuando aprendemos algo mas del caso.
Kevin Mitnick no utilizo ninguna tecnica inventada por el, simplemente hizo uso de las herramientas que cualquiera puede encontrar en internet. Asi nos lleva a pensar lo peligroso que puede ser cualquier atacante. En cualquier formacion de seguridad, nos entregaran un CD con multiple informacion, links o herramientas que nos permitirian realizar este tipo de ataques.
Otro hecho relevante, es el ataque de denegacion de servicio usado por un joven de Canada, que interrumpio el servicio de varias empresas con presencia en internet tan conocidas como Yahoo o Ebay.
Como me dijo un amigo, la forma 100% segura de mantener servidores fuera de ataques, es desconectandolos y apagandolos. Esto es cierto. Cualquier servidor conectado a Internet ya esta expuesto y podria ser una victima. Pero lo realmente importante que tenemos que pensar, es en protegernos de este tipo de ataques, ya son conocidos y aplicamos parches de seguridad pero no estan del todo controlados.
La inversion en seguridad no nos lleva a pagar firewalls y configuraciones de seguridad solamente. Nos lleva a aprender mas cosas como la seguridad que debemos aplicar para defendernos de la ingenieria social, que tantos fraudes ocasiona.
Bueno, pronto hablare mas sobre otras vulnerabilidades.
Finalmente, Kevin Mitnick fue arrestado por el FBI por la demanda de Shimomura al haber robado ficheros con informacion importante. Como referencia dejo el nombre del libro: Takedown: The pursuit and capture of Kevin Mitnick, America's most wanted computer outlaw - by the man who did it. ISBN 0786862106 publicado por Hyperion en Febrero del 1996.
En esas fechas, quizas el hacker mas conocido del mundo intento robar ficheros a uno de los expertos mas conocidos de la seguridad y consultor famoso, Shimomura. Este hecho nos lleva a reflexionar sobre multiples aspectos a tener en cuenta a la hora de proteger nuestras redes, servidores y sobre todo, nuestros datos.
Resumo brevemente lo ocurrido.
Shimomura protegio sus sistemas en su domicilio, pues tenia en cuenta un posible ataque contra sus servidores, asi que al ser conocido, probablemente alguien intentara por fama "hackearle", este constaba de un servidor al que solo se podia acceder desde una maquina cliente, con lo cual empezamos con una relacion de confianza entre las maquinas internas. El sistema operativo cliente y el sistema operativo del servidor en ejecucion era un Sistema Operativo Solaris, de Sun Microsystems, especificamente la version 4 de este (SunOS4) y tenia una red conectada permanentemente a Internet, en la que tenia registrado el dominio "toad.com"
Aprovechando unas vacaciones de Shimomura en las que estaba de viaje en casa de un amigo en San Francisco, y Mitnick comenzo con su ataque.
Para empezar, ejecuto sentencias FINGER para chequear los usuarios tipicos de un sistema, y asi conocer que usuarios hay y las relaciones en las que los equipos confian entre si. Finger es un comando que te responde facilmente ante preguntas de usuarios.
Para continuar, realizo un ataque de denegacion de servicio DoS mediante SYN flood, asi consiguio bloquear en un primer lugar al servidor, de esta forma, el atacante silencia al servidor, que al silenciarse no puede generar ninguna advertencia.
Una vez silenciado el servidor, el atacante va a por la maquina cliente comprobando debilidades en la pila TCP, de forma que mediante SYN/ACK va aprendiendo como se establecen las conexiones en la relacion de confianza. Estos intentos de conexion se realizaban desde apollo.it.luc.edu,
Una vez chequeado, el stack tcp, el atacante encuentra una forma de conectarse y mediante spoofing, consigue simular al servidor atacado que no da signos de funcionamento y consigue abrir un socket o puerto en el cliente X.
Para finalizar, una vez abierta una sesion, usara #rlogin -l root" para tomar el control de la maquina cliente.
Este hecho, nos da que pensar cuando aprendemos algo mas del caso.
Kevin Mitnick no utilizo ninguna tecnica inventada por el, simplemente hizo uso de las herramientas que cualquiera puede encontrar en internet. Asi nos lleva a pensar lo peligroso que puede ser cualquier atacante. En cualquier formacion de seguridad, nos entregaran un CD con multiple informacion, links o herramientas que nos permitirian realizar este tipo de ataques.
Otro hecho relevante, es el ataque de denegacion de servicio usado por un joven de Canada, que interrumpio el servicio de varias empresas con presencia en internet tan conocidas como Yahoo o Ebay.
Como me dijo un amigo, la forma 100% segura de mantener servidores fuera de ataques, es desconectandolos y apagandolos. Esto es cierto. Cualquier servidor conectado a Internet ya esta expuesto y podria ser una victima. Pero lo realmente importante que tenemos que pensar, es en protegernos de este tipo de ataques, ya son conocidos y aplicamos parches de seguridad pero no estan del todo controlados.
La inversion en seguridad no nos lleva a pagar firewalls y configuraciones de seguridad solamente. Nos lleva a aprender mas cosas como la seguridad que debemos aplicar para defendernos de la ingenieria social, que tantos fraudes ocasiona.
Bueno, pronto hablare mas sobre otras vulnerabilidades.
Finalmente, Kevin Mitnick fue arrestado por el FBI por la demanda de Shimomura al haber robado ficheros con informacion importante. Como referencia dejo el nombre del libro: Takedown: The pursuit and capture of Kevin Mitnick, America's most wanted computer outlaw - by the man who did it. ISBN 0786862106 publicado por Hyperion en Febrero del 1996.