Intrusión
El arte de la intrusión yace en penetrar la seguridad de un dispositivo. Los mejores métodos implican infiltrarse en un sistema discretamente, sin llamar la atención de sus guardianes usando exploits (fallos en el código y los protocolos de seguridad) para crear un camino que circunvale las defensas del objetivo. Cuando es necesario sin embargo, un hacker puede dejarse de sutilezas e intentar entrar por fuerza bruta.
CONDICIONES PREVIAS
Para hackear un dispositivo, el hacker necesita establecer conexión directa con el sistema objetivo. Si el hacker está haciendo una conexión inalámbrica directa con el objetivo, debe saber dónde está el objetivo y el sistema debe ser capaz de conectar y estar dentro del alcance (ver Escaneo Inalámbrico). Si el sistema es cableado, el hacker deberá conectarse físicamente usando un puerto regular o pinchar de alguna manera un cable que transporte el tráfico de la red. Si el hacker está accediendo a través de la malla, debe conocer el ID del sistema objetivo o bien ser capaz de seguirlo y debe estar en línea.
CIRCUNVALAR LA AUTENTICACIÓN
En vez de hackearlo, un intruso puede intentar subvertir el sistema de autenticación usado para controlar el acceso de usuarios legítimos. La manera más fácil de hacer esto es conseguir de alguna manera un código, una llave o cualquier otro método de autenticación que utilice el objetivo. Con él en mano, no hacen falta Pruebas para acceder al sistema. El hacker simplemente accede como usuario legítimo y tiene todos los privilegios normales de acceso de dicho usuario. Si carece de un código, el hacker puede tratar de subvertir el sistema de autenticación de dos maneras: spoofing o falsificación.
Hacer spoofing
Mediante este método el hacker intenta disfrazar sus señales como provenientes de un usuario legítimo y autenticado en vez de sí mismo. Si tiene éxito, el sistema es engañado por la mascarada, aceptando los comandos y actividad como si viniera de un usuario legítimo. El spoofing es más difícil de llevar a cabo, pero es muy efectivo cuando funciona. Para hacer spoofing de un usuario legítimo, el hacker debe usar tanto software de sniffado como de spoofing. Debe monitorizar una conexión entre el usuario legítimo y el sistema objetivo y tener éxito en una Prueba de Infosec para sniffar el tráfico entre ambos. Se aplica un -20 si el usuario tiene privilegios de cuenta de seguridad y -30 si tiene derechos de admininstrador. Si la comunicación está encriptada, fallará a menos que tenga la clave.
Armado con estos datos, el hacker entonces los usa para disfrazar sus señales. Esto requere una Prueba de Infosec, modificada por la calidad del firewall del sistema y el programa del spoofing del hacker. Si tiene éxito, las comunicaciones enviadas por el hacker son tratadas como provenientes del usuario legítimo.
Falsificar la autenticación
Los sistemas biométricos y de llave maestra usados para la autenticación pueden ser potencialmente falsificados por hackers que puedan echarle un vistazo a los originales. Los medios y técnicas para hacer esto difieren y están más allá del alcance de este libro, pero falsificar tales sistemas permitiría a un hacker logarse como un usuario legítimo.
PRUEBAS DE INTRUSIÓN
Hackear un nodo es una tarea que lleva tiempo. El sistema objetivo debe ser cuidadosamente analizado y sondeado en busca de debilidades sin alertar sus defensas. Dependiendo del tipo de seguridad desplegada, puede ser necesario más de un test.
Los hackers requieren software especial de exploits para sacar provecho de los agujeros de seguridad, pero el software no hace al hacker. Lo que cuenta de verdad es la habilidad Infosec, que es la capacidad de usar, modificar e improvisar exploits en su propio beneficio.
BARRA LATERAL: LA SECUENCIA DE HACKEO
1.- Superar el firewall: Acción de Tarea (10 minutos)
2.- Superar la seguridad activa: Prueba Enfrentada de Infosec.
· El hacker supera con Éxito Excelente, el defensor falla = Oculto/+30 a todas las Pruebas.
· El hacker supera, el defensor falla = Encubierto.
· Ambos superan = Detectado/Alerta Pasiva.
· El defensor supera, el hacker falla = Localizado/Alerta Activa.
Superar el firewall
Si se carece de un código, el hacker debe irrumpir a la antigua usanza: escaneando discretamente el objetivo, buscando una debilidad y sacándole partido. En este caso el hacker usa su software de exploits y hace una Prueba de Infosec. Esto se maneja como una Acción de Tarea con un tiempo de 10 minutos. Varios modificadores se pueden aplicar, como la calidad del exploit, la del firewall o el estado de alerta del sistema objetivo. El Director de Juego puede también modificar el tiempo, acortándolo para reflejar sistemas que son del montón con fallos de seguridad conocidos o aumentándolo como correspondería a un sistema puntero con defensas aún sin romper.
Por defecto, un hacker tratando de acceder de esta forma va buscando derechos de acceso estándar. Si desea obtener privilegios de seguridad o de administración del sistema, se aplica un -20 o -30 respectivamente. Si la Prueba de Infosec tiene éxito, el intruso consigue invadir el sistema sin disparar ninguna alarma. Si el sistema es monitorizado activamente, debe evitar la detección. Si no hay monitorización activa, el intruso gana el estatus de Encubierto (ver Estatus de Intruso más adelante). Sin embargo, si consigue un Éxito Excelente, su estatus es Oculto.
Sondeo: los jugadores pueden elegir tomarse su tiempo mientras sondean el objetivo en busca de debilidades y exploits. De hecho este es un procedimiento común cuando un hacker quiere asegurarse el éxito.
Superar la seguridad activa
Si un sistema es monitorizado activamente, el hacker debe evitar la detección. Esto se trata como una Prueba Enfrentada de Infosec entre el intruso y el vigilante. El resultado depende de ambas tiradas: si sólo el intruso tiene éxito, el hacker ha accedido al nodo sin que la monitorización lo detecte. Adquiere el estado Encubierto. Si consigue un MdE Excelente, su estado es Oculto.
Si sólo el vigilante o monitor tiene éxito, el intento de hackeo es detectado y el vigía puede inmediatamente bloquear al hacker del sistema antes de que consiga irrumpir completamente negándole el acceso. El intruso puede volver a intentarlo, pero la monitorización estará alerta contra intrusiones posteriores.
Si ambos tienen éxito el intruso ha ganado acceso pero el monitor sabe que algo extraño está pasando. El hacker adquiere el estado Detectado.
Si ambos fallan, se vuelve a hacer la Prueba en cada Fase de Acción del hacker hasta que uno o ambos tengan éxito.
ESTADOS DE INTRUSIÓN
Es una medida simple de la situación del intruso en un sistema. El estado de intrusión define si el hacker ha atraído la atención o se las ha apañado para mantenerse a cubierto. El estado se determina cuando el intruso accede al sistema, aunque puede cambiar en función de los eventos.
Hay que denotar que el estado de intrusión es un asunto que no tiene nada que ver con los privilegios de cuentas y acceso. Lo primero indica cómo de alerta está un sistema de la naturaleza del hacker como intruso. Lo último representa lo que un usuario puede hacer legalmente en el sistema.
Oculto
Un intruso con estado Oculto se las ha arreglado para colarse silenciosamente en el sistema sin que nadie se dé cuenta. La seguridad del sistema no está al corriente de su presencia y no puede actuar contra él. En este caso el hacker no está tanto usando una cuenta como aprovechando un fallo en el sistema que le garantiza una presencia nebulosa en el sistema, casi entre bambalinas. El hacker tiene a todos los efectos derechos de administrador, pero no se muestra como un usuario administrador en los logs u otras estadísticas. Los personajes Ocultos reciben un modificador de +30 a cualquier intento de subvertir el sistema.
Encubierto
Un intruso con estado Encubierto ha accedido al sistema de una manera que no atrae ninguna atención inusual. A todos los efectos y propósitos, aparecen como un usuario legítimo con cualquier derecho de acceso que desee. Sólo comprobaciones exhaustivas destapará cualquier anormalidad. El sistema es consciente de su presencia pero no lo considera una amenaza.
Descubierto
Este estado indica que el sistema está al tanto de una anormalidad o intrusión pero no ha localizado al intruso aún. El hacker aparenta ser un usuario legítimo con los derechos de acceso que solicite, pero esto no soportará un escrutinio detallado. El sistema se pone en estado de Alerta Pasiva (imponiendo un modificador de -10 a las actividades del hacker en dicho sistema) y puede iniciar contramedidas pasivas contra el intruso.
Bloqueado
El estado Bloqueado significa que el intruso (incluyendo su traza de datos) ha sido detectado por el sistema de seguridad. El hacker tiene acceso y privilegios de cuenta, pero ha sido marcado como amenaza. El sistema está en alerta activa (infligiendo un modificador de -20 en las acciones del hacker) y puede lanzar contramedidas activas contra el intruso.
CAMBIANDO DE ESTADO
El estado de un intruso está sujeto a cambio en función de sus acciones y las del sistema.
Mejorar el estado
Un hacker puede intentar mejorar su estado con tal de protegerse mejor a sí mismo. Esto requiere una Acción Compleja y una Prueba de Infosec. Si el hacker tiene estado Detectado, esto es una Prueba Enfrentada entre el vigilante y el intruso. Si el hacker gana y consigue un Éxito Excelente (MdE de 30+), habrá mejorado su estado en un nivel (por ejemplo de Encubierto a Oculto). Los intrusos con estado Bloqueado no pueden mejorar su estado.
Fijar
Un vigilante de seguridad o una musa que está monitorizando un sistema puede tomar una Acción Compleja para intentar fijar la ubicación/actividad de un intruso Detectado. Se hace una Prueba Enfrentada de Infosec entre ambos. Si el defensor del sistema gana, el hacker es fijado y degradado a estado Bloqueado.
Fallar pruebas
En cualquier momento que un intruso padece un Fallo Severo (MdF 30+) en una prueba que implique la manipulación del sistema, es automáticamente degradado un nivel de estado (de Encubierto a Detectado, por ejemplo). Si se saca una tirada con fallo crítico, inmediatamente se descubre a sí mismo y queda en estado Bloqueado.
HACKEO POR FUERZA BRUTA
A veces un personaje simplemente no tiene tiempo de hacer el trabajo bien y necesita entrar ahora o nunca. En este caso el hacker se enfrenta al sistema de inmediato, de frente, sin tomarse ningún tiempo para preparar el ataque. El hacker simplemente saca todas las herramientas de exploit que lleve y las lanza contra el objetivo con la esperanza de que alguna funcione.
Esto se maneja como una Prueba de Infosec, pero como Acción de Tarea de 1 minuto de tiempo (20 turnos de acción). El hacker recibe un modificador de +30 en esta Prueba. Muchos hackers eligen acelerar el trabajo (ver Acciones de Tarea) para acortar incluso aún más el tiempo.
La pega del hackeo por fuerza bruta es que dispara la alarma de inmediato. Si el sistema está siendo monitorizado activamente, el hacker debe superar al monitor en una Prueba Enfrentada de Infosec o ser Bloqueado de inmediato tan pronto como irrumpe.
Incluso si tiene éxito, el hacker estará en estado Bloqueado y será objeto de contramedidas activas.
CONDICIONES PREVIAS
Para hackear un dispositivo, el hacker necesita establecer conexión directa con el sistema objetivo. Si el hacker está haciendo una conexión inalámbrica directa con el objetivo, debe saber dónde está el objetivo y el sistema debe ser capaz de conectar y estar dentro del alcance (ver Escaneo Inalámbrico). Si el sistema es cableado, el hacker deberá conectarse físicamente usando un puerto regular o pinchar de alguna manera un cable que transporte el tráfico de la red. Si el hacker está accediendo a través de la malla, debe conocer el ID del sistema objetivo o bien ser capaz de seguirlo y debe estar en línea.
CIRCUNVALAR LA AUTENTICACIÓN
En vez de hackearlo, un intruso puede intentar subvertir el sistema de autenticación usado para controlar el acceso de usuarios legítimos. La manera más fácil de hacer esto es conseguir de alguna manera un código, una llave o cualquier otro método de autenticación que utilice el objetivo. Con él en mano, no hacen falta Pruebas para acceder al sistema. El hacker simplemente accede como usuario legítimo y tiene todos los privilegios normales de acceso de dicho usuario. Si carece de un código, el hacker puede tratar de subvertir el sistema de autenticación de dos maneras: spoofing o falsificación.
Hacer spoofing
Mediante este método el hacker intenta disfrazar sus señales como provenientes de un usuario legítimo y autenticado en vez de sí mismo. Si tiene éxito, el sistema es engañado por la mascarada, aceptando los comandos y actividad como si viniera de un usuario legítimo. El spoofing es más difícil de llevar a cabo, pero es muy efectivo cuando funciona. Para hacer spoofing de un usuario legítimo, el hacker debe usar tanto software de sniffado como de spoofing. Debe monitorizar una conexión entre el usuario legítimo y el sistema objetivo y tener éxito en una Prueba de Infosec para sniffar el tráfico entre ambos. Se aplica un -20 si el usuario tiene privilegios de cuenta de seguridad y -30 si tiene derechos de admininstrador. Si la comunicación está encriptada, fallará a menos que tenga la clave.
Armado con estos datos, el hacker entonces los usa para disfrazar sus señales. Esto requere una Prueba de Infosec, modificada por la calidad del firewall del sistema y el programa del spoofing del hacker. Si tiene éxito, las comunicaciones enviadas por el hacker son tratadas como provenientes del usuario legítimo.
Falsificar la autenticación
Los sistemas biométricos y de llave maestra usados para la autenticación pueden ser potencialmente falsificados por hackers que puedan echarle un vistazo a los originales. Los medios y técnicas para hacer esto difieren y están más allá del alcance de este libro, pero falsificar tales sistemas permitiría a un hacker logarse como un usuario legítimo.
PRUEBAS DE INTRUSIÓN
Hackear un nodo es una tarea que lleva tiempo. El sistema objetivo debe ser cuidadosamente analizado y sondeado en busca de debilidades sin alertar sus defensas. Dependiendo del tipo de seguridad desplegada, puede ser necesario más de un test.
Los hackers requieren software especial de exploits para sacar provecho de los agujeros de seguridad, pero el software no hace al hacker. Lo que cuenta de verdad es la habilidad Infosec, que es la capacidad de usar, modificar e improvisar exploits en su propio beneficio.
BARRA LATERAL: LA SECUENCIA DE HACKEO
1.- Superar el firewall: Acción de Tarea (10 minutos)
2.- Superar la seguridad activa: Prueba Enfrentada de Infosec.
· El hacker supera con Éxito Excelente, el defensor falla = Oculto/+30 a todas las Pruebas.
· El hacker supera, el defensor falla = Encubierto.
· Ambos superan = Detectado/Alerta Pasiva.
· El defensor supera, el hacker falla = Localizado/Alerta Activa.
Superar el firewall
Si se carece de un código, el hacker debe irrumpir a la antigua usanza: escaneando discretamente el objetivo, buscando una debilidad y sacándole partido. En este caso el hacker usa su software de exploits y hace una Prueba de Infosec. Esto se maneja como una Acción de Tarea con un tiempo de 10 minutos. Varios modificadores se pueden aplicar, como la calidad del exploit, la del firewall o el estado de alerta del sistema objetivo. El Director de Juego puede también modificar el tiempo, acortándolo para reflejar sistemas que son del montón con fallos de seguridad conocidos o aumentándolo como correspondería a un sistema puntero con defensas aún sin romper.
Por defecto, un hacker tratando de acceder de esta forma va buscando derechos de acceso estándar. Si desea obtener privilegios de seguridad o de administración del sistema, se aplica un -20 o -30 respectivamente. Si la Prueba de Infosec tiene éxito, el intruso consigue invadir el sistema sin disparar ninguna alarma. Si el sistema es monitorizado activamente, debe evitar la detección. Si no hay monitorización activa, el intruso gana el estatus de Encubierto (ver Estatus de Intruso más adelante). Sin embargo, si consigue un Éxito Excelente, su estatus es Oculto.
Sondeo: los jugadores pueden elegir tomarse su tiempo mientras sondean el objetivo en busca de debilidades y exploits. De hecho este es un procedimiento común cuando un hacker quiere asegurarse el éxito.
Superar la seguridad activa
Si un sistema es monitorizado activamente, el hacker debe evitar la detección. Esto se trata como una Prueba Enfrentada de Infosec entre el intruso y el vigilante. El resultado depende de ambas tiradas: si sólo el intruso tiene éxito, el hacker ha accedido al nodo sin que la monitorización lo detecte. Adquiere el estado Encubierto. Si consigue un MdE Excelente, su estado es Oculto.
Si sólo el vigilante o monitor tiene éxito, el intento de hackeo es detectado y el vigía puede inmediatamente bloquear al hacker del sistema antes de que consiga irrumpir completamente negándole el acceso. El intruso puede volver a intentarlo, pero la monitorización estará alerta contra intrusiones posteriores.
Si ambos tienen éxito el intruso ha ganado acceso pero el monitor sabe que algo extraño está pasando. El hacker adquiere el estado Detectado.
Si ambos fallan, se vuelve a hacer la Prueba en cada Fase de Acción del hacker hasta que uno o ambos tengan éxito.
ESTADOS DE INTRUSIÓN
Es una medida simple de la situación del intruso en un sistema. El estado de intrusión define si el hacker ha atraído la atención o se las ha apañado para mantenerse a cubierto. El estado se determina cuando el intruso accede al sistema, aunque puede cambiar en función de los eventos.
Hay que denotar que el estado de intrusión es un asunto que no tiene nada que ver con los privilegios de cuentas y acceso. Lo primero indica cómo de alerta está un sistema de la naturaleza del hacker como intruso. Lo último representa lo que un usuario puede hacer legalmente en el sistema.
Oculto
Un intruso con estado Oculto se las ha arreglado para colarse silenciosamente en el sistema sin que nadie se dé cuenta. La seguridad del sistema no está al corriente de su presencia y no puede actuar contra él. En este caso el hacker no está tanto usando una cuenta como aprovechando un fallo en el sistema que le garantiza una presencia nebulosa en el sistema, casi entre bambalinas. El hacker tiene a todos los efectos derechos de administrador, pero no se muestra como un usuario administrador en los logs u otras estadísticas. Los personajes Ocultos reciben un modificador de +30 a cualquier intento de subvertir el sistema.
Encubierto
Un intruso con estado Encubierto ha accedido al sistema de una manera que no atrae ninguna atención inusual. A todos los efectos y propósitos, aparecen como un usuario legítimo con cualquier derecho de acceso que desee. Sólo comprobaciones exhaustivas destapará cualquier anormalidad. El sistema es consciente de su presencia pero no lo considera una amenaza.
Descubierto
Este estado indica que el sistema está al tanto de una anormalidad o intrusión pero no ha localizado al intruso aún. El hacker aparenta ser un usuario legítimo con los derechos de acceso que solicite, pero esto no soportará un escrutinio detallado. El sistema se pone en estado de Alerta Pasiva (imponiendo un modificador de -10 a las actividades del hacker en dicho sistema) y puede iniciar contramedidas pasivas contra el intruso.
Bloqueado
El estado Bloqueado significa que el intruso (incluyendo su traza de datos) ha sido detectado por el sistema de seguridad. El hacker tiene acceso y privilegios de cuenta, pero ha sido marcado como amenaza. El sistema está en alerta activa (infligiendo un modificador de -20 en las acciones del hacker) y puede lanzar contramedidas activas contra el intruso.
CAMBIANDO DE ESTADO
El estado de un intruso está sujeto a cambio en función de sus acciones y las del sistema.
Mejorar el estado
Un hacker puede intentar mejorar su estado con tal de protegerse mejor a sí mismo. Esto requiere una Acción Compleja y una Prueba de Infosec. Si el hacker tiene estado Detectado, esto es una Prueba Enfrentada entre el vigilante y el intruso. Si el hacker gana y consigue un Éxito Excelente (MdE de 30+), habrá mejorado su estado en un nivel (por ejemplo de Encubierto a Oculto). Los intrusos con estado Bloqueado no pueden mejorar su estado.
Fijar
Un vigilante de seguridad o una musa que está monitorizando un sistema puede tomar una Acción Compleja para intentar fijar la ubicación/actividad de un intruso Detectado. Se hace una Prueba Enfrentada de Infosec entre ambos. Si el defensor del sistema gana, el hacker es fijado y degradado a estado Bloqueado.
Fallar pruebas
En cualquier momento que un intruso padece un Fallo Severo (MdF 30+) en una prueba que implique la manipulación del sistema, es automáticamente degradado un nivel de estado (de Encubierto a Detectado, por ejemplo). Si se saca una tirada con fallo crítico, inmediatamente se descubre a sí mismo y queda en estado Bloqueado.
HACKEO POR FUERZA BRUTA
A veces un personaje simplemente no tiene tiempo de hacer el trabajo bien y necesita entrar ahora o nunca. En este caso el hacker se enfrenta al sistema de inmediato, de frente, sin tomarse ningún tiempo para preparar el ataque. El hacker simplemente saca todas las herramientas de exploit que lleve y las lanza contra el objetivo con la esperanza de que alguna funcione.
Esto se maneja como una Prueba de Infosec, pero como Acción de Tarea de 1 minuto de tiempo (20 turnos de acción). El hacker recibe un modificador de +30 en esta Prueba. Muchos hackers eligen acelerar el trabajo (ver Acciones de Tarea) para acortar incluso aún más el tiempo.
La pega del hackeo por fuerza bruta es que dispara la alarma de inmediato. Si el sistema está siendo monitorizado activamente, el hacker debe superar al monitor en una Prueba Enfrentada de Infosec o ser Bloqueado de inmediato tan pronto como irrumpe.
Incluso si tiene éxito, el hacker estará en estado Bloqueado y será objeto de contramedidas activas.