- Contraseñas nulas o por defecto
Dejar las contraseñas administrativas en blanco o usar la contraseña por defecto proporcionada por el fabricante. Esto sucede más a menudo en hardware tales como enrutadores y cortafuegos, aunque algunos servicios que corren en Linux pueden contener contraseñas administrativas por defecto (aunque Red Hat Enterprise Linux no se despacha con ellas).
Comúnmente asociado con hardware de red tales como enrutadores, cortafuegos, VPNs y aparatos de almacenamiento conectados a la red (NAS). | ||
Común en muchos sistemas operativos hereditarios, especialmente aquellos que vinculan servicios (tales como UNIX y Windows.) | ||
Los administradores algunas veces crean cuentas de usuarios con privilegios apresuradamente y dejan la contraseña en blanco, un punto perfecto de entrada para un usuario malicioso que descubre la cuenta.
Hay servicios seguros que a veces empaquetan llaves de seguridad por defecto para propósitos de desarrollo o de prueba. Si estas llaves se dejan sin modificar y se colocan en un ambiente de producción en la Internet, cualquier usuario con la misma llave por defecto tiene acceso a ese recurso y toda la información confidencial que pueda contener. Más común en puntos de acceso inalámbricos y en aparatos de servidor seguro preconfigurado.
Una máquina remota actúa como un nodo en su red local, encuentra vulnerabilidades con sus servidores e instala un programa en el fondo o un caballo de troya para ganar control sobre los recursos de su red.
|
Reunir datos que pasan entre dos nodos activos en una red mediante el rastreo de la conexión entre los dos nodos.
Este tipo de ataque funciona principalmente con protocolos de transmisión de texto plano tales como Telnet, FTP y HTTP. |
El atacante remoto debe tener acceso a un sistema comprometido en una LAN para poder llevar a cabo tal ataque; usualmente el atacante ha usado una agresión activa (tal como IP spoofing o Hombre-en-el-medio) para comprometer un sistema en una LAN. |
Las medidas preventivas incluyen colocar los servicios con intercambio de llaves encriptadas, contraseñas de una sola ocasión, o autenticación encriptada para prevenir el huzmeo de contraseñas; también se recomienda una encriptación robusta durante las transmisiones.
|
Una atacante encuentra una falla o un hueco en un servicio que se ejecuta en la Internet; a través de esa vulnerabilidad, el atacante puede comprometer el sistema completo y cualquier dato que contenga y también podría posiblemente comprometer otros sistemas en la red.
Los servicios basados en HTTP tales como CGI son vulnerables a la ejecución remota de comandos e inclusive hasta el acceso interactivo desde la shell. Aún si el servicio HTTP se ejecuta como un servicio sin privilegios tal como "nobody", se puede leer información tal como archivos de configuración y mapas de la red, o el atacante puede comenzar un ataque de rechazo de servicios lo que drena los recursos del sistema o se declara como no disponible a otros usuarios. |
Los servicios pueden tener vulnerabilidades que pasan desapercibidos durante el desarrollo y pruebas; estas vulnerabilidades (tales como desbordamiento del buffer, donde los atacantes pueden hacer fallar un servicio usando valores arbitrarios que llenen el buffer de la memoria de una aplicación, otorgando al atacante un intérprete de comandos interactivo desde el cual este puede ejecutar comandos arbitrarios) pueden otorgar control administrativo completo al atacante. |
Los administradores deberían asegurarse de que lo servicios no se ejecuten como el usuario root y deberían mantenerse al día con los remiendos y las actualizaciones de errores para sus aplicaciones desde sus fabricantes u organizaciones de seguridad tales como CERT y CVE.
|
Los atacantes encuentran fallas en aplicaciones de escritorio y de estaciones de trabajo (tales como clientes de correo electrónico) y ejecutan código arbitrario, implantan caballos de troya para comprometer los sistemas en un futuro o dañan los sistemas. Pueden ocurrir otras agresiones si la estación de trabajo tiene privilegios administrativos sobre el resto de la red.
Las estaciones de trabajo y los escritorios son más susceptibles de ataques porque los trabajadores no tienen la suficiente experiencia para prevenir o detectar una máquina comprometida, al contrario de un servidor manejado por un administrador. Es imperativo informar a las personas sobre los riesgos de instalar software no autorizado o de abrir correo no solicitado. |
Se pueden implementar medidas de seguridad tales como que el cliente de correo no abra automáticamente o ejecute los anexos. Adicionalmente, las actualizaciones automáticas del software de las estaciones de trabajo a través de Red Hat Network u otros servicios de administración de sistemas, pueden aliviar la carga de las distribuciones de seguridad en múltiples puestos.
|
Un atacante o grupo de atacantes pueden coordinar un ataque a la red o a los recursos de un servidor de una organización, mediante el envío de paquetes a la máquina objetivo (bien sea un servidor, enrutador o estación de trabajo). Esto obliga al recurso a no estar disponible para validar a los usuarios.
El caso más señalado de DoS ocurrió en los Estados Unidos en el año 2000. Varios sitios web de gran tráfico se presentaron indisponibles debido a un ataque coordinado de flujo de ping usando varios sistemas comprometidos con conexiones de gran ancho de banda actuando como zombies o nodos de difusión redirigidos. |
Los paquetes fuentes son usualmente falsificados (así como también redifundidos), haciendo la investigación a la fuente verdadera del ataque muy difícil. |
Los avances en el filtrado de ingreso (IETF rfc2267) usando iptables y la tecnología de Network IDS, tal como snort, asisten a los administradores en seguir la trayectoria y en prevenir ataques distribuidos de DoS. |