Ethical Hacking. Reinaldo Mayol Arnao

Transcripción

1 Ethical Hacking Reinaldo Mayol Arnao

2

3 } El levantamiento comienza por: 1. Búsqueda del nombre de dominio (Ej. empresa.com) 2. Localización física de la empresa, direcciones, teléfonos, direcciones de correo electrónico

4 3. Búsqueda de información de la empresa en google y otros motores de búsqueda, blogs, noticias, foros, etc. Búsqueda de versiones en páginas como 4. Búsqueda de Intranet, proyectos, versiones beta de la empresa, conseguir acceso a la Intranet puede brindar información valiosa de la misma. www2.empresa.com, etc. 5. Existen herramientas como DNS Enumerator, Spider Foot, DNS Stuff que ayudan a realizar la busque

5 Práctica:Archive.org Ambiente: Cualquiera Vaya al sitio Web: utilice la herramienta para buscar versiones anteriores de su sitio web.

6 21 Febrero del 2006

7 Práctica:dnsstuff Ambiente: Cualquiera

8 } En esta etapa el atacante intenta descubrir, enumerar e inventariar los equipos de la red a la que quiere acceder. } Específicamente, el atacante desea recolectar información acerca de las direcciones IP, su sistema operativo, la arquitectura de sistemas de la víctima y los servicios que cada equipo de su red está ejecuta.

9

10

11

12 } Syn Stealth o Half Open: Se envía un paquete SYN a un puerto del equipo, lo que sugiere que se está solicitando una conexión. Si el puerto está abierto enviará un paquete SYN/ ACK. Por el contrario, si el puerto está cerrado enviará un paquete RST. } La ventaja de este tipo de escaneo es que muy pocos sitios registran este tipo de actividad.

13 } FIN Scan: Sólo funciona con equipos con TCP/IP desarrollado de acuerdo al RFC 793, si se realiza contra Windows la respuesta será que todos los puertos están cerrados. El escaneo consiste en enviar un FIN, si el puerto está abierto se recibirá NO RESPONSE, si el puerto está cerrado se recibirá un RST/ACK.

14 } NULL Scan: Este tipo de rastreo sólo funciona con equipos con TCP/IP desarrollado de acuerdo al RFC 793. Si se realiza contra Windows la respuesta será que todos los puertos están cerrados. El escaneo consiste en enviar un paquete sin banderas configuradas, si el puerto está abierto se recibirá NO RESPONSE, si el puerto está cerrado se recibirá un RST/ACK

15 } Window Scan: Este rastreo es similar al ACK, la detección se realiza revisando el tamaño de las ventanas. } ICMP Echo Scan: Esta opción no es realmente un tipo de rastreo dado que ICMP tiene abstracción de puertos, pero es útil para determinar qué equipos de una red están arriba haciendo ping. } List Scan: Este tipo de escaneo simplemente genera e imprime la lista de IP/nombres sin hacer ping o escaneo de puerto. En realidad se realiza una resolución de nombres (DNS)

16 } Bounce Scan: Este tipo de rastreo utiliza la vulnerabilidad de los servidores FTP para los ataques de bounce. Esta vulnerabilidad permite que una persona solicite al servidor FTP abrir una conexión con un tercero en un puerto en particular. Cómo el atacante puede utilizar el FTP también podrá recibir los resultados. El ataque bounce es similar a la usurpación de IP (IP Spoofing). El anonimato del atacante se mantiene. También es bueno evadiendo cortafuegos y permite acceso a redes locales.

17 } Reverse Ident Scan: El protocolo Ident permite que se muestren los usuarios dueños de procesos conectados vía TCP, incluso si ese proceso no comenzó la conexión. De esta forma una conexión puede establecerse por HTTP y luego utilizar ident para identificar qué servidor está corriendo como root.

18 } RPC Scan: Este método funciona en combinación con otros tipos de rastreos de puertos. Funciona escaneando todos los puertos TCP/UDP y luego los inunda con un programa de SunRPC con comandos nulos en un intento de determinar si son puertos RPC, si lo son, trata de determinar qué versión tienen y programas están sirviendo.

19 } Blaster Scan: Este es un rastreo de puertos TCP sistemas para basados en *nix. Realiza ping a los equipos para determinar conectividad, escanea segmentos de red, accesos anónimos a servidores FTP, vulnerabilidades CGI, POP3 y FTP (para ataques de fuerza bruta).

20

21

22 Google Hacking Muchas aplicaciones mal instaladas, o instaladas por omisión, errores de configuración, etc, terminan publicando información que no debería ser publica en Internet. Esta información es indexada por los buscadores y por lo tanto, terminan siendo disponibles para el ethical hacker o para el criminal informáaco. En paracular, las capacidades avanzadas de búsqueda de google son extraordinariamente flexibles. Las búsquedas comunes y corrientes conaenen texto a ser buscado en el cuerpo de la página Web. Sin embargo, las búsquedas avanzadas pueden especificar Apos de archivos, textos en disantas partes de la página no solo el cuerpo, patrones de números, firmas de aplicaciones, etc. Algunos modificadores de este Apo son: " Inurl: Texto en el URL de la pagina. " Intext: Texto libre. " Site: Especifica un dominio. " Filetype: Tipo de archivos a buscar.

23 Google Hacking Obtener Cuentas: inurl:account filetype:xls Obtener passwords: inurl:passwords filetype:xls Obtener info sobre sistemas: inatle:"sysinfo * " intext:"generated by Sysinfo * wriuen by The Gamblers." Busqueda de disposiavos: inurl:indexframe.shtml Axis (WebCams) intext:centreware inurl:status (Printers) El siao web donde todo esto ocurre se llama the Google Hacking Database: hup://johnny.ihackstuff.com/ ghdb.php

24 Técnica de Zone Transfer Ejecutar un ataque de transferencia de zona con nslookup. " nslookup " set type=ns " dominio.com " server servidordns.dominio.com " set type=any " ls d dominio.com Todos los dominios bien configurados deben responder con un transacción rechazada. En caso contrario esta secuencia de comandos nos devuelve una lista de hosts con sus nombres de acuerdo a los records del servidor DNS que fue preguntado. Algunos servidores DNS también pueden responder con datos incorrectos para despistar atacantes. Salvo casos muy especiales, las transferencias de zonas no deberían permiarse a la internet en general.

25 } Otro camino común utilizado en esta etapa es la búsqueda de vulnerabilidades que puedan ser explotables. } Existen innumerables herramientas que pueden ser utilizadas para este fin.

26 Escondiendo información mediante Streams Alternos. Los streams alternos NTFS o named streams o ADS (Alternate Data Streams) son una caracterísaca del sistema de archivos NTFS poco conocida pero muy úal. Si comparamos a NTFS con otros filesystems como FAT, NTFS expande significaavamente el concepto de un archivo como una simple porción de datos con un nombre. El stream sin nombre es un elemento obligatorio y siempre esta presente. Si intentamos crear un stream alterno en un archivo que no existe, el filesystem automáacamente creara un stream sin nombre con longitud zero. Si tratamos de borrar un stream sin nombre, el sistema lo considera como una solicitud de borrar todo el archivo y por lo tanto todos los otros streams alternos serán eliminados.

27 Escondiendo información mediante Streams Alternos. Cuando un programa abre un archive común y corriente, en realidad esta abriendo el stream sin nombre. Para especificar un stream alterno simplemente hace falta agregar el símbolo : al nombre del archivo. Por ejemplo, nombredearchivo.txt especifica el stream sin nombre del archivo (o dependiendo del contexto, todo el archivo), mientras que nombredearchivo.txt:stream especifica el stream alterno de nombre stream. Un directorio también puede tener streams alternos, sin embargo, el directorio no puede tener streams sin nombre. Cualquier intento de acceder al stream sin nombre de un directorio resulta en un error. Como el símbolo : también se usa para especificar las letras de unidades lógicas se presenta una ambigüedad al ualizar por ejemplo A:B. El sistema resuelve esta ambigüedad asumiendo siempre que se trata de unidades de disco. Cuando se desea representar un archivo, se debe especificar con el path completo aunque sea relaavo, por ejemplo:.\a:b.

28 } Proxy: es un servidor que puede ser utilizado cómo intermediario para conexiones con otros equipos. } Es común utilizar servidores distribuidos por varios países de forma es esconder el origen real de la intrusión.

29

30 } Tor es una de las herramientas de proxy-socks mas conocidas y utilizadas. } Funciona re-direccionando todo el tráfico a un servidor anónimo y cifrando los datos entre ese servidor tor y el cliente ( no entre el servidor tor y el destino)

31

32 } El término enumeración se emplea para designar el proceso de extracción de cuentas de usuario, privilegios de las cuentas, nombres de equipo, etc. } Algunas técnicas de enumeración para la extracción de usuarios: } } } } SNMP Utilizando los IDs de correo electrónico Extrayendo información con usuarios por omisión Fuerza bruta contra directorio activo.

33 } Luego de lograr el acceso el hacker tratará de escalar privilegios y ejecutar aplicaciones o exploits de forma encubierta. } Una forma común de encubrimiento son los rootkits. Los rootkits se instalan en el kernel y tienen la habilidad de esconderse y encubrir sus actividades.

34 } Cuando se instala un rootkit se reemplazan llamados del sistema operativo por versiones o rutinas modificadas que contienen la ejecución de script o aplicación adicional al llamado natural que realiza la función. } Un rootkit puede: Esconder procesos, archivos, entradas en el registro interceptar comandos, solicitar debug (causando los famosos pantallazos azules), redirigir archivos.

35

36

37 Ethical Hacking

38

39

40 } Obtención de identidades mediante ataques de hombre en el medio. } Envenenamiento del Cache del DNS. } Explotando errores de los programas. } Explotando configuraciones incorrectas. } Envenenamiento de URL } Inyecciones SQL } DoS

41 } Cross-Site Scripting En HTML, existen caracteres especiales, que se utilizan para que el servidor y los navegadores puedan diferenciar entre texto normal ( mostrado) y elementos que proporcionan diferentes funcionalidades. Cross-Site Scripting es una vulnerabilidad que puede ser explotada mediante la inserción de caracteres especiales en la comunicación clienteservidor, en forma de scripts, contentivo de código malicioso.

42 } <A HREF= mycomment=<script>codigo-malicioso</script>"> Click here</a> } <A HREF= mycomment=<script SRC= </ SCRIPT>"> Click here</a>

43 } Imagine que ud. ha recibido un correo electrónico con una invitación a un paseo. Para ir al paseo, ud. debe llenar un formulario con sus datos. } El tiene un link que amablemente lo llevará al formulario. } El link tiene la forma } El código del link dice:

44 Usuario Confiado Server Vulnerable Usuario Envía Solicitud Server Devuelve HTML con código malicioso incluido ( el server cree que es el nombre del usuario) Usuario confiado pierde el Control de su máquina, el código malicioso Se lo ha entregado a un extraño

45 } Esta vulnerabilidad permite a usuarios externos obtener acceso a máquinas corriendo IIS 4.0 o IIS 5.0 a través de URL s malformadas } Ej: Microsoft IIS efectúa una verificación de seguridad sobre cada CGI URL ejecutado para asegurar que el requerimiento no use ninguna secuencia../ Pero.. Dado que la codificación Unicode del caracter / es %c0%af, si se reemplaza la secuencia../ por..%c0%af este no será rechazado por la verificación inicial, ya que dicho proceso no encuentra ninguna ocurrencia de los caracteres../ sólo verá una secuencia..%c0%af válida. GET/scripts/..%c0%af/winnt/system32/cmd.exe?/ c+dir=c:\ HTTP/1.0

46 } %c0 es el código de la tabla Basic Latin Pero, %af > %7f, lo Que significa que el sistema da la vuelta,%80-%af=%2f %2F El número más grande es %7f ( 127 D)

47 } RPC DCOM RPC (Remote Procedure Call o Llamada de Procedimiento Remoto), es un protocolo utilizado por Windows, que proporciona un mecanismo de comunicación entre procesos internos, y que permite que un programa ejecutándose en una computadora pueda acceder a los servicios de otra, de manera transparente para el usuario

48 Windows posee un servicio llamado DCOM (Distributed Component Object Model o Modelo de Objeto Componente Distribuido), que permite a los objetos COM comunicarse entre a través de la red. Un atacante puede utilizar los puertos TCP/UDP 135 (RPC), 139 y 445 (NetBIOS), 593 (RPC/http), o cualquier puerto habilitado por IIS para alcanzar los servicios DCOM vulnerables.

49 Existen innumerables vulnerabilidades descritas y explotables utilizando los servicios DCOM. Un atacante que tenga éxito en aprovecharse de estas vulnerabilidades, podría ejecutar un código capaz de tener todos los privilegios del sistema local de un sistema afectado.

50 } echo -e "GET / HTTP/1.0\n\n" nc -vv 80 XXXXXXX.com.ve [XXX.XXX.XXX.116] 80 (www) open HTTP/ OK Date: Fri, 21 Nov :21:22 GMT Server: Apache/ (Ubuntu) PHP/ ubuntu4.3 X-Powered-By: PHP/ ubuntu4.3 Connection: close Content-Type: text/html

51 } Una vulnerabilidad de inyección SQL puede producirse cuando, un gestor mal programado facilita datos en una base de datos de consulta sin la validación de la entrada. } <form method="post" action="process_login.php"> <input type="text" name="username"> <input type="password" name="password"> </ form> } Imagine que pasa mediante el browser la siguiente sentencia: name=reinaldo%27%3b%20-- El - - actúa en SQL como comentario, lo que implicará que le servidor ignore el resto de la sentencia

52

53 } name=reinaldo& password= %20OR%20 %3d SELECT nombre FROM usuarios WHERE uid=reinaldo AND pwd= OR = : name=&password=%27;+insert+into+userlist+ %28uid%2cpassword%29+VALUES%28%27reinaldo %27%2c%27mayol%27%29,--+ SELECT nombre FROM usuarios WHERE uid= AND pwd= ; INSERT INTO userlist (uid.password) VALUES ( reinaldo. mayol )--

54 } ;+CREATE +TABLE+mia+%28bar+TEXT%29; CREATE TABLE mia (bar TEXT) } ;+LOAD +DATA+INFILE+%27%2fetc%2f%passd/27+INTO +TABLE+mia; LOAD DATA INFILE /etc/passwd INTO TABLE mia } ;+SELECT +%2a+FROM+mia SELECT * FROM mia

55 Robo de Contraseñas

56 Auten:cación " El modelo más común de auten:cación permite iden:ficar a un usuario, una aplicación o a un servicio u:lizando una pareja de ID- Clave " En un contexto más amplio existen varios modelos adicionales de auten:cación: Kerberos Cer:ficación Digital

57 Esquemas de Auten:cación " Auten:cación HTTP Auten:caciónBasica Digest Auten:cación " Auten:cación Windows (NTLM) " Auten:cación con Cer:ficados Digitales o Claves " RSA Secure Token " Biometría

58 Auten:cación HTML Básica

59 Digest Authen:ca:on " La contraseña no se u:liza directamente en la auten:cación, sino, por ejemplo: HA1 = MD5 (nombre de usuario: entorno: contraseña). " Se basa en el esquema reto- respuesta

60 Digest Authen:ca:on Servidor de Autenticación Servidor Envía Reto Cliente Servidor compara reto enviado con reto recibido Usuario envía Reto Cifrado LA CLAVE NUNCA PASA POR LA RED!! Usuario Cifra Reto con Clave

61 Auten:cación NTLM " Cons:tuye una variante de la auten:cación mediante resúmenes criptográficos. " Se trata igualmente una forma segura de auten:cación en la medida en que no se envían ni la contraseña ni el nombre de usuario a través de la red. Sólo está soportado por Microso] Internet Explorer, versión 2.0 o posterior y servidores NT. No funciona para conexiones con proxy.

62 Cómo ocurre la auten:cación en redes Microso]? " Cuando un usuario envía la orden para acceder a \\maquina\recurso_compar:do se efectúan los siguientes pasos: Establecimiento de sesión TCP Establecimiento de sesión NetBIOS Negociación SMB (Server Message Block) Auten:cación Challenge- Response

63 SMB " SMB (Server Message Block) es el protocolo a nivel capa Aplicación usado en las redes Microso]. " Por razones de compa:bilidad, los nuevos sistemas opera:vos siempre comprenden a los anteriores. " Durante la negociación el cliente envía la lista de dialectos que comprende, el server selecciona uno en común (normalmente el más nuevo) y devuelve esa información al cliente. " Conjuntamente con esa información el servidor envía el reto.

64 DoS

65 Como se inicia un DoS? " Se comienza un ataque de DoS explotando una vulnerabilidad en un sistema informá:co. " La idea detrás de un ataque de este :po es dejar fuera al sistema víc:ma, principalmente por inanición de recursos. " La principal dificultad (del lado de la víc:ma) radica en detener el ataque y reconocer las solicitudes apócrifas de las verdaderas.

66 Algunos Ataques de DoS " SYN flood " TCP FIN flood " Connec:on flood " Land Atack " finger bomb " bomb " MAC flooding " DNS flood " Supernuke/ Winnuke " Teardrop/Newtear " Paquetes fragmentados " Bucle UDP/Snork UDP

67 DoS y DDoS

68 DDoS en el Mundo ( 2007)

69 Smurf " Enviar un paquete ICMP- Echo- Request a un SMURF amplifier network (A- class broadcast address). " Todos los ordenadores de esa red responden a la dirección de origen

70 Qué es un Troyano? " Un Troyano es un pequeño programa que corre a escondidas y que infecta a un computador. " Con la ayuda de un Troyano, un atacante puede obtener acceso a passwords, modificar parámetros de operación de la computadora infectada, etc.

71 Tipos de Troyanos " Security So]ware Disablers " Destruc:ve " Remote Access " Data- Sending " Denial- of- Service (DoS) Apack " Proxy

72 Puertos u:lizados por (algunos) troyanos Back Orifice Deep Throat NetBus NetBus 2 Pro Back Orifice /UDP 2140, 3150/UDP 12345,12346/TCP 20034/TCP /UDP

73 Fin