1 - 7 - Ataque A Los Sistemas Paso 1
1 - 7 - Ataque A Los Sistemas Paso 1
1 - 7 - Ataque A Los Sistemas Paso 1
Ataques activos en línea, donde el pentester se comunica con la máquina objetivo para obtener el acceso.
Ataques pasivos en línea, el pentester no tiene comunicación con el sistema.
Sino que monitorea los datos que pasan por el canal de comunicación hacia y desde el sistema.
Ataques fuera de línea, dónde se intenta recuperar las contraseñas en texto claro.
A partir del proceso de revertir el valor de hash de la contraseña.
Entre los ataques no electrónicos, podríamos resaltar los siguientes.
Ingenería social, el cual implica engañar a otras personas para que rompan los procedimientos normales de
seguridad.
Espiar la contraseña, esta técnica busca robar las contraseñas.
Al esconderse cerca de los usuarios legítimos y observarlos introducir sus contraseñas.
Y buscar en la basura, consiste en la consecución de fragmentos de información sensible al buscar en las
canecas de las basuras.
En cuanto a los ataques activos en línea, encontramos, entre otros, uso de contraseñas por defecto.
En este ataque, se prueban las contraseñas provistas por defecto por los fabricantes.
Con el nuevo equipamiento para intentar acceder al mismo.
Ataque de fuerza bruta.
El pentester intentará con todas las combinaciones posibles de caracteres.
Hasta romper la seguridad de la contraseña, búsqueda exhaustiva.
Ataque de diccionario.
En este ataque, se carga un archivo de texto con una gran cantidad de palabras a una aplicación de
descifrado.
Que se ejecuta contra la cuenta de un usuario legítimo.
Y uso de troyanos, spyware, keyloggers.
A través del uso de aplicaciones de software, el pentester roba información del usuario sin su
consentimiento.
Especialmente se pretende el poder acceder a las contraseñas del usuario legítimo.
En los ataques pasivos en línea tenemos.
Monitoreo de paquetes, en este tipo de ataques el pentester busca las credenciales de acceso.
En los paquetes de tráfico que se capturan en la red.
Y el ataque de hombre en el medio.
Este ataque consiste en la intercepción de la comunicación entre dos usuarios legítimos sin que ellos lo
sepan.
Normalmente, el pentester realiza una captura del tráfico y la retransmite.
Recuerda que vimos un videotutorial previamente sobre este ataque, en el módulo uno.
Finalmente, podemos ejemplificar los ataques fuera de línea con.
Ataque de tabla arcoiris.
Este ataque utiliza una técnica criptoanalítica, que utiliza información you calculada y almacenada en
memoria para descubrir la contraseña.
En el ataque tabla arcoiris, el pentester crea una tabla de todas las posibles contraseñas y sus respectivos
valores hash.
Y realiza una comparación con el cifrado de hash de la contraseña.
Ataque de red distribuido.
Esta técnica utiliza el poder de procesamiento no utilizado de las máquinas disponibles en la red para
descifrar la contraseña.
Veamos ahora la técnica referente a la explotación de desbordamiento del búfer.
Un búfer es un segmento adyacente de memoria asignado a una aplicación para manejar sus datos en
tiempo de ejecución.
Por tanto, el desbordamiento de búfer es una vulnerabilidad de las aplicaciones.
Que les permite aceptar un volumen mayor de datos que el tamaño del búfer.
Lo cual puede llevar a la aplicación a sobreescribir ubicaciones de memoria vecinas.
Esta vulnerabilidad puede llevar a las aplicaciones a un comportamiento errático del sistema.
Como puede ser la caída del sistema, o a un error de acceso a la memoria, entre otros.