Seguridad en IRC

Se puede decir que si, los usuarios de Macintosh estamos (como todos) relativamente seguros mientras estamos en IRC. Generalmente, la seguridad de un usuario en Internet viene dada por un parámetro básico, la IP, que es el número que nos identifica ante el resto de los usuarios.

Durante muchos años las IP´s de los usuarios eran públicas y visibles pára el resto de los usuarios mientras estábamos conectados a un servidor IRC, y aparecía junto a nuestro Username en los comandos /whois. Sin embargo, con el paso de los años, y la proliferación de programas, scripts y similares para hacer las conocidas “IRC wars” o guerras de IRC, las grandes redes obligan a los usuarios cuando se conectan a forzar un modo de encriptación de IP, para que no sea visible fácilmente por otros usuarios, sin utilizar artimañas.

El supuesto falso ataque

Al entrar en un servidor de IRC, normalmente el soft del servidor hace una serie de comprobaciones de nuestra seguridad. Generalmente, el server “toca” como mínimo dos puestos, aunque puede tocar alguno mas en función de diferentes troyanos o virus. Normalmente esos puertos son_

113: Ident. Identificación del usuario

1080: Shocks, Wingate o Proxy. Este es el puerto standard para el software que redirige múltiples conexiones de ordenadores a través de una sola para salir a Internet. Si este proxy esta mal configurado, o no responde con la suficiente rapidez a la solicitud del servidor, este se defiende ejecutando un Ban temporal de la IP del Proxy o similar.

27374: Últimamente se ha puesto de moda usar el Troyano Sub7, al que conectan a IRC para obtener su IP con rapidez y así controlar el ordenador infectado. Algunos servidores controlan este puerto también y si obtienen respuesta, banean al usuario.

Diferentes ataques, diferentes defensas.

Existen numerosos y diferentes tipos de ataques en IRC, casi siempre basados en dos tipos:

DoS, o Denial of Service (Denegación de servicio) que “tiran” a un usuario del servidor, y cortan su conexión.

Flood: ataques por saturación, ya que envían tal gran cantidad de información a un usuario que hacen de su estancia en el IRC una experiencia muy desagradable.

Cómo un usuario de Macintosh puede defenderse de todo esto?

Si vamos a entrar en una Red a la que consideramos potencialmente insegura, deberemos tomar algunas precauciones para no vernos atacados por algún otro usuario.

Lo primero es comprobar que nuestra IP esta encriptada, así que antes de conectarnos a cualquier canal, nos haremos un /whois, que es el comando que permite obtener información acerca de un usuario. Su sintaxis es /Whois Nombre-que-estemos-usando, y comprobaremos que detrás de nuestro hostname, nuestra IP se encuentra encriptada. Si lo esta, podemos ver el numero como una sucesión de letras y números sin sentido, ya que la sintaxis de un numero IP es xxx.xxx.xxx.xxx, es decir 4 grupos de 1, 2, ó 3 números como máximo, separados por un punto.

Si la IP esta encriptada tenemos ya mucha seguridad ganada por delante. Es difícil averiguar una IP encriptada por un servidor de IRC, aunque existen algunos trucos que detallaremos a continuación.

DCC, método de averiguación de IP

El DCC es una conexión punto a punto entre usuarios, transportada por el servidor. El servidor negocia la conexión punto a punto entre usuarios y a continuación, una vez abierta, se desentiende de ella. Esta conexión punto a punto se mantiene incluso si salimos fuera del servidor de IRC.

Hay dos tipos de DCC, el chat DCC, y el DCC de archivos (o el Fserve, servidor de archivos del Cliente de IRC). Normalmente nuestro Cliente de IRC nos avisa de una llegada de DCC con un ruido o aviso particular.

Qué ocurre si aceptamos un DCC? Si el usuario de origen del DCC (o el de destino) tiene un firewall o programa de detección de transito de información de Internet, puede analizar el Log ofrecido por el programa y obtener nuestra IP, con lo cual, si en realidad busca efectuar un ataque, dispone de la mejor información posible para amargarnos un rato, usando cualquier tipo de programa de Negación de Servicio, con lo cual, nuestra conexión inesperadamente se corta (si vamos por MODEM) o se ralentiza en exceso e incomprensiblemente si usamos una IP fija como las que normalmente se usan en el ADSL.

Para evitar este tipo de problemas, es conveniente configurar nuestro Cliente de IRC para que nos avise de la llegada de DCC´s de cualquier tipo. En el caso de Ircle, se encuentra en preferencias/DCC y desactivaremos la casilla “Auto DCC get” y “Autoaccept DCC chat”. Así, si queremos recibir un DCC, sólo tenderemos que abrir la ventana del DCC (?-D) y aceptarlo o denegarlo.

Seguridad extra del DCC

Generalmente no es conveniente aceptar archivos de desconocidos, o con nombres fabulosos ó que hacen promesa de algo raro o irrealizable. Cualquier cosa que entre por DCC (archivos) y no provenga de un usuario fiable, debe ser pasada por un antivirus, y comprobada con un “get info”. Piensa que es fácil cambiarle un icono y la extensión en el nombre a un archivo para simular que se trata de un archivo comprimido (.sit) y tratarse después de un troyano, un Applescript malicioso, o un virus.

Entre los usuarios de Windows es muy habitual (va a rachas) encontrarnos que al entrar a un canal, inmediatamente un usuario nos envía un DCC. Suelen ser virus que se auto envían por correo o IRC (netol.src, por ejemplo) sin el conocimiento del usuario. Estos virus, que son para los usuarios de Mac un montón de bytes inútiles, resultan al menos, molestos.

Ataques por Flood

Este tipo de ataques son más molestos, ya que requieren una defensa personalizada por cada usuario, ya que el atacante ya dispone de una información de primer orden, nuestro nick, al que podrá seguir de diferentes formas, aunque lo cambiemos.

El Flood es en realidad, una gran cantidad de información enviada a través del mismo servidor, de manera que colapsa nuestras ventanas con líneas de texto, o con múltiples peticiones CTCP o de DCC, de manera que al final, consigue que el “chateo” sea imposible, o incluso que el cliente se cierre.

Como evitar este tipo de ataques?

Ataques por CTCP ó solicitud de información

Nos dirigiremos a las preferencias de Ircle, y en Preferencias/CTCP,, marcaremos la casilla “disable CTCP (and DCC) completely”, y a continuación, en el menú File, guardaremos las preferencias , que se activaran en el acto. Así bloquearemos todas las peticiones CTCP y DCC (de todos los usuarios, ojo!).

Ataques por Flood de mensaje

Lo primero es tener mucha calma. Si el usuario atacante nos envía repetidos mensajes privados (/msg) lo mejor será abrirle un /query (/query nick) para que todos esos mensajes vayan desviados a una sola ventana. A continuación le podemos hacer un ignore (/ignore nick) de manera que toda la información que provenga de ese usuario no nos sea mostrada. Evidentemente el atacante puede detectar que ha sido ignorado, cambiar el nick y seguir, así que si insiste, podemos usar un comando para anular totalmente la recepción de mensajes privados: /umode nuestronick +m , de manera que el servidor bloqueara todos los mensajes privados que nos destinen. Este comando se puede desactivar posteriormente con /umode nuestronick –m, ya que el servidor almacena la orden para nuestro nick, aunque salgamos del servidor y volvamos a entrar. (Este comando pertenece a Conference Room, que es el Soft que usa la Red Vulcano para su Red de IRC, en otros softwares de Servicio IRC, consultar con la ayuda en línea).

En cuanto a los ataques dirigidos a un Canal, normalmente son de un tipo solo, por Flood, con 3 variantes:

Envío repetido de texto al canal. Solución? Pateo y ban al usuario. Si el usuario cambia de IP, banear al El rango de Ips del proveedor durante un rato, para que no pueda entrar

Entrada y salida continua al canal. Solución? La misma expresada arriba.

Flood por Clones: El usuario atacante meterá un numero indeterminado y alto de clones o usuarios repetidos al canal. Solución?: Pateo y baneo. Si el usuario cambia de IP y prosigue el ataque, colocar el canal en modo +i (invitado) de manera que no pueda entrar si no es por invitación de un OP del canal.

Un último detalle

Es importante recordar que medidas hemos tomado ante un ataque parta luego desactivarlas y así no encontrarnos con posteriores sesiones de IRC donde encontremos extraños comportamientos de nuestro Cliente de IRC y no sepamos que ocurre.

0 0 votos
Article Rating
Subscribe
Notify of
7 Comments
Oldest
Newest Most Voted
Opiniones Inline
Ver todos los comentarios
Anónimo
Anónimo
21 years ago

Simplemente fantástico e indispensable.

Anónimo
Anónimo
21 years ago

muy viejo, pero indsipensable, aunq algo de sa informacion ya no es utilizada, por que ya varios sistemas estan parcheados, pero excelente.

Anónimo
Anónimo
21 years ago

es buena la informacion, pero ya es pasado ahora los script, son mejores, tienen mejores proteciones ya no es necesario comandos ya todo esta en el Script, una que ahora existe una forma de ver el Ip asi se esconde y es un comando muy sencillo y pude caerse el usuario con una nuke, dependiendo si tiene Firewall, uno de los mejores Firewall’s que conosco es el Norton

Anónimo
Anónimo
20 years ago

si es buena la infO

Anónimo
Anónimo
20 years ago

esta bueno eso de ataques la mayoria en el irc hace ataques de clones, es lo mas bueno para ataques en el irc.ejjeje
para mi hacer eso me hace sentir un gran hacker.

Anónimo
Anónimo
18 years ago

si uso una IP fija y estoy ban del server con todo y proovedor de internet como puedo accesar de nuevo al chat?

Anónimo
Anónimo
18 years ago

yo lo ke pienso de los atakes ke dentro de lo malo tienen algo bueno ya ke le enseñan al usuario sus devilidades las cuales puede mejorar y si kieren un escript destructor PUES AGANLO USTEDES MISMO KON SUS CARACTERISTICAS Y NETA KE SE SIENTE GENIAL CUANDO TIENES TERMINADO TU PROYECTO PERO HAORA EL IRC ES ALGO KE NO ME IMPORTA ATAKAR YA ES ALGO PASADO

7
0
Me encantaría saber tu opinión, por favor, deja un comentariox
()
x