Hacker-virus

Un análisis de la mentalidad del hacker

¿Por qué algunas personas se dedican a hackear? Algunos dicen que la explicación es similar a la que dan los alpinistas refiriéndose a las montañas: “porque los ordenadores están allí". Otros indican que al resaltar las vulnerabilidades, el hacker ayuda a incrementar la seguridad de los ordenadores. Finalmente, está la explicación más aceptada y difundida: por motivos criminales.

Sea cual fuere la razón, mientras existan los ordenadores, habrán hackers de sombrero blanco, sombreros negro y sombrero gris. Y como no hay forma de predecir que clase de ataque (‘curiosidad’ versus ‘malicia’) amenazará a su ordenador, siempre es mejor estar preparado para lo peor.

Durante las horas en que un equipo está conectado a Internet, alguien lo puede explorar con un escáner automático de vulnerabilidades, buscando formas de ingresar. Puede ser alguien que sólo tiene curiosidad por ver lo que hay en el ordenador, o algún hacker de ‘sombrero blanco’ revisando si el ordenador es seguro. Por supuesto, a usted no le gustaría que desconocidos que pasan por su casa se detengan a revisar sus posesiones, confirmar si su casa o su auto están seguros y dejar una nota diciendo: "Hola, yo estuve aquí, su puerta estaba abierta, pero no se preocupe y por cierto, repare su cerrojo". Si usted no quiere que alguien haga esto en su casa, tampoco querrá que lo haga en su ordenador y no hay tampoco hay excusas para hacerlo en el ordenador de otra persona.

El hacking premeditado y criminal es más grave. En el mundo real las cosas suceden así: alguien llega, rompe su candado, entra, desconecta su sistema de alarma, roba algo o coloca micrófonos en su teléfono o un equipo de vigilancia en su sala. Si esto ocurre, usted puede llamar a la policía; ellos investigarán, escribirán un reporte y a usted sólo le quedará esperar que los ladrones sean capturados. Desafortunadamente, este es un lujo raro en el mundo de los ordenadores; el acusado puede estar lejos, muy lejos, descargando sus archivos confidenciales mientras descansa sentado en su villa personal o toma baños de sol en su gigantesca piscina, construida con dinero robado. En el ámbito de negocios, muchas corporaciones prefieren no informar sobre ningún incidente de hacking, a fin de proteger la imagen de su compañía. Lo cual significa que los criminales permanecen sin castigo.

Otra motivación del hacker puede ser el vandalismo o graffiti digital, que puede ser definido como hackear los sistemas para causar daño. La desfiguración de sitios web es una forma muy popular de graffiti digital y hay algunos grupos hackers que solamente se ocupan de realizar esta tarea. Igual que en el mundo real, no cibernético, atrapar a los hooligans es una tarea tediosa que no suele merecer los esfuerzos que se le dedica.

Cualquiera que sea la razón, ya sea "ayudar a los otros", "incrementar la seguridad", "vandalismo" o "intento criminal"; el hacking es un fenómeno que tiene profundas raices en el mundo de los ordenadores y probablemente nunca desaparezca. Siempre habrá gente inmadura que tratará de abusar de los recursos públicos, autoproclamándose "Robin Hood" y criminales informáticos ocultos en los oscuros callejones del ciberespacio.

Cómo detectar un ataque de hacker

La mayoría de las vulnerabilidades de ordenadores pueden ser aprovechadas de varias formas. Los ataques Hacker pueden utilizar un simple exploit específico, o varios exploits al mismo tiempo, una configuración deficiente en uno de los componentes del sistema o inclusive un backdoor instalado en un ataque anterior.

Debido a esto, detectar los ataques hacker no es una tarea fácil, sobre todo para un usuario inexperto. Este artículo da unas cuantas ideas y guías básicas para ayudarle a darse cuenta si su máquina está bajo un ataque o si la seguridad de su sistema está expuesta a peligro. Tenga en cuenta que no hay una garantía del 100% de que usted detecte un ataque hacker de esta forma. Sin embargo, hay buenas probabilidades de que si su sistema ha sido penetrado, muestre uno o más de los siguientes comportamientos.

Equipos con Windows:

• Tráfico de red de salida sospechosamente alto. Si usted está en una cuenta de discado o utiliza ADSL y nota un volumen alto no usual en el tráfico de salida (sobre todo si este tráfico sucede cuando su ordenador esta inactivo o no necesariamente cargando datos) entonces es posible que su ordenador esté en peligro. Su ordenador puede estar siendo utilizado ya sea para enviar spam o por un gusano de red que se esta reproduciendo y enviando copias de si mismo. Para las conexiones por cable, esto es menos relevante – es muy común tener la misma cantidad de tráfico de salida como el tráfico de entrada; inclusive si usted no está haciendo nada más que visitar sitios o descargar datos de Internet.

• Gran actividad del disco duro o archivos de aspecto sospechoso en los directorios raíces de cualquiera de los discos. Después de penetrar en el sistema, muchos hackers realizan un escaneo masivo para encontrar documentos interesantes o archivos que contengan contraseñas o detalles de cuentas de banco o de pagos como PayPal. De igual forma, algunos gusanos buscan en el disco archivos que contengan direcciones de correo electrónico y las usan para propagarse. Si usted nota una gran actividad en su disco cuando el sistema esta inactivo, y archivos de nombres sospechosos en carpetas comunes, este puede ser un indicio de penetración en el sistema o de una infección de malware.

• Un gran número de paquetes que vienen de una dirección simple son y son bloqueados por un cortafuegos (firewall) personal. Después de ubicar un blanco (Ej: el rango IP de una compañía o un grupo de usuarios de servicios de cable) los hackers suelen usar herramientas automáticas de prueba que tratan de usar varios exploits para irrumpir en el sistema. Si usted tiene un cortafuegos (firewall) personal (un elemento fundamental para protegerse de los ataques hacker) y notan un número inusualmente alto de paquetes que vienen de la misma dirección, entonces este es un claro indicador de que su equipo está bajo ataque. Las buenas noticias son que si su cortafuegos (firewall) personal está reportando estos ataques, es muy probable de que usted esté seguro. Sin embargo, dependiendo de la cantidad de servicios que usted expone a Internet, el cortafuegos personal puede fallar en protegerlo contra un ataque dirigido a un servicio FTP específico de su sistema que haya sido abierto a todos los usuarios. En este caso, la solución es bloquear el IP ofensor temporalmente hasta que cesen los intentos de conexión. Muchos cortafuegos (firewall)s personales y IDS tienen incorporada una función de bloqueo.

• Un gran número de paquetes que vienen de una sola dirección y son bloqueados por su cortafuegos (firewall) personal. Después de ubicar un blanco (Ej: el rango IP de una compañía o un grupo de usuarios de servicios de cable) los hackers suelen usar herramientas automáticas de prueba que tratan de usar varios exploits para irrumpir en el sistema. Si usted tiene un cortafuegos (firewall) personal (un elemento fundamental para protegerse de los ataques hacker) y notan un número inusualmente alto de paquetes que vienen de la misma dirección, entonces este es un claro indicador de que su equipo está bajo ataque. Las buenas noticias son que si su cortafuegos (firewall) personal está reportando estos ataques, es muy probable de que usted esté seguro. Sin embargo, dependiendo de la cantidad de servicios que usted expone a Internet, el cortafuegos personal puede fallar en protegerlo contra un ataque dirigido a un servicio FTP específico de su sistema que haya sido abierto a todos los usuarios. En este caso, la solución es bloquear el IP ofensor temporalmente hasta que cesen los intentos de conexión. Muchos cortafuegos (firewall)s personales y IDS tienen incorporada una función de bloqueo. Su antivirus residente de pronto comienza a informar que ha detectado backdoors o caballos de Troya, inclusive si usted no ha hecho nada fuera de lo ordinario. Aunque los ataques de hacker pueden ser complejos e innovadores, los caballos troyanos o backdoor conocidos siguen utilizándose para obtener acceso completo al sistema amenazado. Si el componente residente de su antivirus está detectando y reportando este tipo de malware, puede ser un indicio de alguien está intentando penetrar a su sistema.

Unix machines:

• Archivos con nombres sospechosos en el archivo/tmp folder. Muchos exploits en el mundo Unix se basan en la creación de archivos temporales en el fólder /tmp, que no siempre son borrados después del hackear el sistema. Lo mismo sucede con algunos gusanos que infectan los sistemas Unix; ellos se apoderan del directorio tmp y lo utilizan como su "casa".

• Con frecuencia, después de ingresar al sistema, el hacker intenta asegurarse el acceso instalando una "puerta trasera" en uno de los demonios con acceso directo desde el Internet, o mediante la modificación de utilidades standard del sistema que se usan para conectarse con otros sistemas. Los binarios modificados son usualmente parte de un rootkit y generalmente son invisibles ante una inspección simple. En todos los casos, es una buena idea mantener una base de datos de las sumas de control de cada utilidad de sistema y verificarlas periódicamente desconectando el sistema de la red y en modo de usuario único.

• La alteración de /etc/passwd, /etc/shadow, u otros archivos de sistemas en el directorio /etc. A veces los ataques de hackers pueden añadir un nuevo usuario en /etc/passwd que puede obtener ingreso remoto al

...