lunes, 28 de febrero de 2011

Ataques DoS como herramienta de intrusión

Normalmente cuando se habla de denegaciones de servicio (DoS, Denial of Service) se suele entender un ataque a un sistema de computadoras o red que causa que un servicio o recurso sea inaccesible a los usuarios legítimos. Una técnica habitual es la sobrecarga de conexiones o peticiones hasta que el servicio llega al límite de su capacidad. Usualmente los ataques DoS se consideran un fin en sí mismos, el objetivo es que el sistema deje de responder.

Sin embargo un ataque DoS puede ser usado como parte de un asalto más sofisticado, existen escenarios en los que deshabilitar un sistema forma parte de los requerimientos para un ataque exitoso. Un ejemplo clásico de esto son los ataques basados en IP-Spoofing , en ellos un atacante falsifica la dirección de un tercero en sus comunicaciones con un objetivo. Si se trata de un spoofing de protocolo TCP tiene el inconveniente de que las respuestas del objetivo llegan de vuelta hasta ese tercer sistema por ser suya la dirección IP de origen falsificada. Este tercer sistema al recibir un SYN+ACK fuera de secuencia responde con un RST cortando la comunicación y terminando por tanto el intento de IP-Spoofing. Por ello para que un ataque de este tipo tenga éxito es necesario primero deshabilitar al tercer sistema, por ejemplo mediante un SYN flood. (Para saber más de este tipo de ataque)

Otro contexto seria la denegación de servicio de un sistema centralizado, por ejemplo de autenticación o de logging, para así debilitar la seguridad de los sistemas que dependen de él.

Veamos un ejemplo concreto de forma practica:


Supongamos a un atacante que desea penetrar en una red comprometiendo un router A , router CISCO con IP 172.21.1.1, este router esta correctamente asegurado y dispone de la última versión de IOS. Sin embargo el atacante ha podido hacerse con acceso físico a un router B que se supone tendrá los mismos parámetros, mediante el procedimiento de recuperación local ha conseguido hacerse el fichero de configuración.

Analizado el fichero del router B descubre la siguiente configuración:

aaa new-model
aaa authentication login default tacacs+ local
tacacs-server host 10.130.1.1
tacacs-server key secreto

O lo que es lo mismo el router tiene como sistema principal de autenticación un servidor tipo TACACS+ con ip 10.130.1.1 donde se encuentran los nombres de usuario y contraseñas autorizadas, si falla la conexión con este sistema se emplean los nombres de usuario y contraseñas almacenadas en local. En este caso:

enable secret 5 $1$B8pH$PmmcMRoqfeEtQ7WxL865a0
username abc secret 5 $1$fBYK$rH5/OChyx/

Si bien las password se encuentran en formato hash MD5, un ataque de cracking determina que el acceso con nivel enable es mediante la password “password”. Mientras que el usuario “abc” tiene la password “xyz”. El problema para nuestro intruso es que no es posible usar este usuario local en el RouterA a menos que el servidor TACACS+ deje de funcionar.

Asumiendo que el atacante tiene una conexión lo suficientemente buena con el servidor TACACS+ , podría hacer un simple pero efectivo SYN flood contra el puerto 49 usado por este servicio para así dejarlo inaccesible para terceros. Para ello podría por ejemplo usar la herramienta hping.

./hping2 10.130.1.1 -p 49 -S -a 172.21.1.1 -i u1

Con esto el servidor de autenticación recibiría una avalancha de paquetes SYN con la ip de origen del routerA y se vería imposibilitado para responder las verdaderas peticiones del routerA, que pasaría a usar la autenticación local.



Así nuestro atacante solo tendría que acceder mediante telnet al router objetivo, routerA, pudiendo usar las password locales que previamente extrajo de routerB. Con ello logra acceso total a dicho router y por extensión a las redes que conecta el mismo.

Como vemos en este ejemplo mediante un DoS hemos logrado el acceso a un sistema.

Modifiquemos ahora nuestro escenario y supongamos que nuestro atacante forma parte de un Tiger Team gubernamental durante un hipotético conflicto u operación de ciberinteligencia se abrirían nuevas vías para realizar ataques DoS que serian inimaginables en un ataque informático tradicional. Nos referimos al DoS físico, es decir la inutilización o destrucción material del sistema o de sus conexiones.

Por ejemplo en caso de conflicto se podría ordenar el bombardeo sobre unas instalaciones donde se ubican los servidores que se pretende deshabilitar, o se podría enviar un equipo de fuerzas especiales para cortar un enlace terrestre de fibra óptica y obtener el mismo resultado. El objetivo puede ser la denegación en servicio en si misma, o como veíamos en el ejemplo el facilitar acceso en otros sistemas. Estaríamos ante el caso de una acción militar convencional sirve como medio o multiplicador de efectos para un ataque informático.

No hay comentarios:

Publicar un comentario en la entrada