Puerta Trasera-Auditoria de Sistemas
15
AUDITORIA DE SISTEMAS “PUERTA TRASERA” INTEGRANTES: • LINARES RUA, Nino Luis. • PALOMINO MOISES, Yuri Anderson. • PUMALLIHUA GARCIA, Hever. • TORRES LOZANO, Juan Carlos. UN IVER SID AD N AC IO N AL D E SAN C R ISTÓ B AL D E H UAMANGA FA C U LTA D D E IN G EN IER IA D E M IN AS , G EO LO G IA Y C IVIL ESC UELA DE FO RM ACIÓ N PR O FESIO N A L D E IN GEN IER IA D E S IS TE M AS
Transcript of Puerta Trasera-Auditoria de Sistemas
AUDITORIA DE SISTEMAS“PUERTA TRASERA”
INTEGRANTES:• LINARES RUA, Nino Luis.• PALOMINO MOISES, Yuri Anderson.• PUMALLIHUA GARCIA, Hever.• TORRES LOZANO, Juan Carlos.
UNIVERSIDAD NACIONAL DE SAN CRISTÓBAL DE HUAMANGA
FACULTAD DE INGENIERIA DE MINAS, GEOLOGIA Y CIVIL
ESCUELA DE FORMACIÓN PROFESIONAL DE INGENIERIA DE SISTEMAS
PUERTA TRASERA (Backdoor)
Es un software que permite el acceso al sistema de la computadora ignorando los procedimientos normales de autenticación.
De acuerdo cómo trabajan e infectan a otros equipos, existen dos tipos de puertas traseras.
TIPOS
PRIMER GRUPO: Se asemeja a los caballos de Troya, es decir, son insertados manualmente dentro de algún otro software, ejecutados por el software contaminado e infecta al sistema para poder ser instalado permanentemente.
TIPOSSEGUNDO GRUPO: Funciona de manera
parecida a un gusano informático, el cuál es ejecutado como un procedimiento de inicialización del sistema y normalmente infecta por medio de gusanos que lo llevan como carga.
Aunque estas puertas pueden ser utilizadas para fines maliciosos y espionaje no siempre son un error, pueden haber sido diseñadas con la intención de tener una entrada secreta.
PUERTAS TRASERAS MÁS CONOCIDASBack Orifice y NetBus son dos de los primeros
backdoors, que hasta nuestros días siguen vigentes aunque en menor cantidad dado que la mayoría de los programas antivirus los detectan. Otro muy conocido es el SubSeven, que también fue introducido en millones de ordenadores en el mundo.
Netcat es una de las herramientas de hacking y administración de redes que puede ser empleada para abrir puertas traseras así como emplearla para protegerse de ellas. Originalmente desarrollada para sistemas Unix, en la actualidad también está disponible para Microsoft Windows.
BACK ORIFICEEs un programa de control remoto de ordenadores que funciona
bajo un servidor y un cliente. Si colocamos el servidor a otro ordenador remoto, es posible desde el cliente, gobernar cualquier función del ordenador remoto, entre los que destaca abrir y cerrar programas, controlar el CD-ROM, leer y modificar ficheros o borrar parte del disco duro.
Para ello el servidor se autoejecuta y se borra cada vez que el ordenador ajeno se enciende, nuestro cliente escanea el puerto elegido y cuando éste está abierto actúa a través de él, desde un menú repleto de pestañas y opciones de control remoto. El sistema es bueno para controlar un ordenador u ordenadores dentro de nuestra red LAN, aunque dejar este puerta abierta para Windows es toda una amenaza.
Fue diseñado con una arquitectura cliente-servidor. Un pequeño y discreto programa servidor es instalado en una máquina, la cual es controlada remotamente por un programa cliente a través de una interfaz gráfica desde otro ordenador. Los dos componentes se comunican usando los protocolos de red TCP y UDP. Normalmente el programa usa el puerto 31337.
Back Orifice 2000 (BO2k)Back Orifice fue seguido de
Back Orifice 2000, que fue presentado el 10 de julio de 1999 en el DEF CON 7. El código original fue escrito por Dildog, un miembro de grupo de hackers estadounidenses Cult of the dead cow (cDc). Fue el sucesor de la herramienta de administración remota Back Orifice, liberada el año anterior.
Mientras que el Back Orifice original estaba limitado a Windows 95 y Windows 98, BO2K también soporta Windows NT. Además, el código fuente de BO2K fue liberado.
NETBUSEs un software para el control de una forma remota de
sistemas informáticos Microsoft Windows a través de una red. Fue creado en 1998 y ha sido muy controvertido por su potencial de ser utilizado como una puerta trasera.
NetBus se escribió en Delphi por Carl-Fredrik Neikter en marzo de 1998 (Sueco) Entro en circulación antes que Back Orifice, fue liberado en agosto de 1998. El autor afirmó que el programa estaba destinado a ser usado para bromas, no para irrumpir ilegalmente en los sistemas informáticos.
En 1999, NetBus se utilizó para la pornografía infantil en el equipo de trabajo de Magnus Eriksson, un erudito en Derecho Universidad de Lund. Las 3500 imágenes fueron descubiertas por los administradores del sistema, y Eriksson se supone que lo había descargado a sabiendas.
CaracterísticasExisten dos componentes para la arquitectura cliente-
servidor. El servidor debe ser instalado y ejecutado en el equipo
que quiere ser controlado a distancia, el tamaño de archivo es de casi 500 KB. El nombre y el icono han variado mucho de versión a versión. Nombres comunes eran "Patch.exe" y "SysEdit.exe". Cuando se inicia por primera vez, el servidor se instala en el ordenador host, incluyendo la modificación de Windows del Registro para que se inicie automáticamente en cada inicio del sistema.
El servidor atiende las conexiones en el puerto 12345 (en algunas versiones, el puerto es configurable), el puerto 12346 se utiliza para ciertas tareas, así como el puerto 20034.
El cliente es un programa separado de la presentación con una interfaz gráfica que permite al usuario realizar una serie de actividades en el equipo remoto, como pueden ser:Registro de las pulsaciones del teclado (Keylogging)Inyección de teclas de manera remotaCaptura de pantalla, permitiendo descargarla al
clienteEjecución remota de aplicacionesNavegación por los archivos y carpetas del servidorApagado del sistemaAbrir / cerrar la bandeja del CDTunneling
NetBus hace conexiones a través de un sin número de sistemas, el cliente de NetBus fue diseñado para las siguientes versiones de Windows: Windows 95 Windows ME Windows NT 4.0 Windows 2000 y Windows XP (Netbus client v1.70)
La mayor parte del protocolo utilizado entre el cliente y el servidor es textual. Por lo tanto, el servidor puede ser controlado por comandos, permitiendo administrar equipos con NetBus desde sistemas operativos distintos a Windows.
NETCATEs una herramienta de red originalmente desarrollada por
Hobbit en 1996 y liberada bajo una licencia de software libre permisiva para UNIX. Posteriormente fue portada a Windows y Mac OS X entre otras plataformas.
Es denominada la navaja suiza de la seguridad de red" porque sirve para innumerables cosas. Netcat permite a través de intérprete de comandos y con una sintaxis sencilla abre puertos TCP/UDP en un HOST (quedando netcat a la escucha), asociar un shell a un puerto en concreto y forzar conexiones UDP/TCP (útil por ejemplo para realizar rastreos de puertos o realizar transferencias de archivos bit a bit entre dos equipos).
Entre sus múltiples aplicaciones, es frecuente la depuración de aplicaciones de red. También es utilizada a menudo para abrir puertas traseras en un sistema.
Netcat , abre una nueva conexión al puerto 25 (como telnet): nc mail.server.net 25
CONCLUSIONESLas puertas traseras son un tipo de troyano de acceso
remoto, que proporcionan al atacante el control total del equipo de la víctima.
Las puertas traseras se usan para copiar, eliminar ficheros
de la víctima, modificar configuraciones del equipo, robar las contraseñas de los usuario de la víctima y de las paginas que ha visitado.
Ningún antivirus, por mas actualizado que esté, es cien por
ciento seguro, pues nos podría ocurrir un ataque coordinado de más de un virus, uno para deshabilitar o reconfigurar la base de virus de nuestro antivirus, y luego el ingreso de algún troyano.
Se recomienda utilizar un software antivirus que tenga todo los niveles de protección (adware, spyware, back-door, Dialer, Double-extension, Games, Jokes, Phishing, etc.).
