Está en la página 1de 182

Fases de un ataque informtico

Reconocimiento (Reconnaissance)

El reconocimiento se refiere a la fase preparatoria donde el atacante obtiene toda la
informacin necesaria de su objetivo o victima antes de lanzar el ataque. Esta fase
tambin puede incluir el escaneo de la red que el Hacker quiere atacar no importa si el
ataque va a ser interno o externo. Esta fase le permite al atacante crear una estrategia
para su ataque.
Esta fase puede incluir la Ingeniera Social, buscar en la basura (Dumpster diving),
buscar que tipo de sistema operativo y aplicaciones usa el objetivo o vctima, cuales son
los puertos que estn abiertos, donde estn localizados los routers (enrutadores), cuales
son los host (terminales, computadoras) ms accesibles, buscar en las bases de datos del
Internet (Whois) informacin como direcciones de Internet (IP), nombres de dominios,
informacin de contacto, servidores de email y toda la informacin que se pueda extraer
de los DNS (Domain Name Server).

Escaneo (Scanning)

Esta es la fase que el atacante realiza antes de la lanzar un ataque a la red (network). En
el escaneo el atacante utiliza toda la informacin que obtuvo en la Fase del
Reconocimiento (Fase 1) para identificar vulnerabilidades especficas. Por ejemplo, si
en la Fase 1 el atacante descubri que su objetivo o su vctima usa el sistema operativo
Windows XP entonces el buscara vulnerabilidades especficas que tenga ese sistema
operativo para saber por dnde atacarlo.
Tambin hace un escaneo de puertos para ver cules son los puertos abiertos para saber
por cual puerto va entrar y usa herramientas automatizadas para escanear la red y los
host en busca de ms vulnerabilidades que le permitan el acceso al sistema.

Ganar Acceso (Gaining Access)

Esta es una de las fases ms importantes para el Hacker porque es la fase de penetracin
al sistema, en esta fase el Hacker explota las vulnerabilidades que encontr en la fase 2.
La explotacin puede ocurrir localmente, offline (sin estar conectado), sobre el LAN
(Local Area Network), o sobre el Internet y puede incluir tcnicas como buffer
overflows (desbordamiento de buffer), denial-of-service (negacin de servicios), sesin
hijacking (secuestro de sesin), y password cracking (romper o adivinar claves usando
varios mtodos como: diccionary atack y brute forc atack).
Los factores que ayudan al Hacker en esta fase a tener una penetracin exitosa al
sistema dependen de cmo es la arquitectura del sistema y de cmo est configurado el
sistema objetivo o vctima, una configuracin de seguridad simple significa un acceso
ms fcil al sistema, otro factor a tener en cuenta es el nivel de destrezas, habilidades y
conocimientos sobre seguridad informtica y redes que tenga el Hacker y el nivel de
acceso que obtuvo al principio de la penetracin.

Fase 4 Mantener el Acceso (Maintaining Access)

Una vez el Hacker gana acceso al sistema objetivo (Fase3) su prioridad es mantener el
acceso que gano en el sistema. En esta fase el Hacker usa sus recursos y recursos del
sistema y usa el sistema objetivo como plataforma de lanzamiento de ataques para
escanear y explotar a otros sistemas que quiere atacar, tambin usa programas llamados
sniffers para capturar todo el trfico de la red, incluyendo sesiones de telnet y FTP (File
Transfer Protocol).
En esta fase el Hacker puede tener la habilidad de subir, bajar y alterar programas y
data.
En esta fase el hacker quiere permanecer indetectable y para eso remueve evidencia de
su penetracin al sistema y hace uso de Backdoor (puertas traseras) y Troyanos para
ganar acceso en otra ocasin y tratar de tener acceso a cuentas de altos privilegios como
cuentas de Administrador. Tambin usan los caballos de Troya (Trojans) para transferir
nombres de usuarios, passwords e incluso informacin de tarjetas de crdito almacenada
en el sistema.

Fase 5 Cubrir las huellas (Covering Tracks)

En esta fase es donde el Hacker trata de destruir toda la evidencia de sus actividades
ilcitas y lo hace por varias razones entre ellas seguir manteniendo el acceso al sistema
comprometido ya que si borra sus huellas los administradores de redes no tendrn pistas
claras del atacante y el Hacker podr seguir penetrando el sistema cuando quiera,
adems borrando sus huellas evita ser detectado y ser atrapado por la polica o los
Federales.
Las herramientas y tcnicas que usa para esto son caballos de Troya, Steganography,
Tunneling, Rootkits y la alteracin de los log files (Archivos donde se almacenan
todos los eventos ocurridos en un sistema informtico y permite obtener informacin
detallada sobre los hbitos de los usuarios), una vez que el Hacker logra plantar caballos
de Troya en el sistema este asume que tiene control total del sistema.

MDULO: SEGURIDAD EN EQUIPOS INFORMTICOS
TEMA 2. AMENAZAS A LA SEGURIDAD Y TIPOS DE ATAQUES INFORMTICOS

1. Define cada una de las cinco fases vistas. Indica un ejemplo para cada una de ellas:
- Backdoors, rootkits y troyanos F4
- Ingeniera Social, el Dumpster Diving, el sniffing F1
- Archivos de registro (log), alarmas del Sistema de Deteccin de Intrusos (IDS) F5
- Network mappers, port mappers, network scanners, port scanners, y vulnerability scanners. F2
- Buffer Overflow, de Denial of Service (DoS), Distributed Denial of Service (DDos), Password filtering y
Session hijacking F3

Fases de un ataque informtico
Reconocimiento (Reconnaissance) (Descubrimiento y exploracin del sistema informtico)

El reconocimiento se refiere a la fase preparatoria donde el atacante obtiene toda la informacin
necesaria de su objetivo o victima antes de lanzar el ataque. Esta fase tambin puede incluir el
escaneo de la red que el Hacker quiere atacar no importa si el ataque va a ser interno o externo. Esta
fase le permite al atacante crear una estrategia para su ataque.
Esta fase puede incluir la Ingeniera Social, buscar en la basura (Dumpster diving), buscar que tipo
de sistema operativo y aplicaciones usa el objetivo o vctima, cuales son los puertos que estn
abiertos, donde estn localizados los routers (enrutadores), cuales son los host (terminales,
computadoras) ms accesibles, buscar en las bases de datos del Internet (Whois) informacin como
direcciones de Internet (IP), nombres de dominios, informacin de contacto, servidores de email y
toda la informacin que se pueda extraer de los DNS (Domain Name Server).

Escaneo (Scanning) (Bsqueda de vulnerabilidades en el sistema)

Esta es la fase que el atacante realiza antes de la lanzar un ataque a la red (network). En el escaneo
el atacante utiliza toda la informacin que obtuvo en la Fase del Reconocimiento (Fase 1) para
identificar vulnerabilidades especficas. Por ejemplo, si en la Fase 1 el atacante descubri que su
objetivo o su vctima usa el sistema operativo Windows XP entonces el buscara vulnerabilidades
especficas que tenga ese sistema operativo para saber por dnde atacarlo.
Tambin hace un escaneo de puertos para ver cules son los puertos abiertos para saber por cual
puerto va entrar y usa herramientas automatizadas para escanear la red y los host en busca de ms
vulnerabilidades que le permitan el acceso al sistema.

Ganar Acceso (Gaining Access) (Exploracin de vulnerabilidades)

Esta es una de las fases ms importantes para el Hacker porque es la fase de penetracin al sistema,
en esta fase el Hacker explota las vulnerabilidades que encontr en la fase 2. La explotacin puede
ocurrir localmente, offline (sin estar conectado), sobre el LAN (Local Area Network), o sobre el
Internet y puede incluir tcnicas como buffer overflows (desbordamiento de buffer), denial-of-
service (negacin de servicios), sesin hijacking (secuestro de sesin), y password cracking (romper
o adivinar claves usando varios mtodos como: diccionary atack y brute forc atack).
Los factores que ayudan al Hacker en esta fase a tener una penetracin exitosa al sistema dependen
de cmo es la arquitectura del sistema y de cmo est configurado el sistema objetivo o vctima,
una configuracin de seguridad simple significa un acceso ms fcil al sistema, otro factor a tener
en cuenta es el nivel de destrezas, habilidades y conocimientos sobre seguridad informtica y redes
que tenga el Hacker y el nivel de acceso que obtuvo al principio de la penetracin.

Fase 4 Mantener el Acceso (Maintaining Access) (Corrupcin o compromiso del sistema)

Una vez el Hacker gana acceso al sistema objetivo (Fase3) su prioridad es mantener el acceso que
gano en el sistema. En esta fase el Hacker usa sus recursos y recursos del sistema y usa el sistema
objetivo como plataforma de lanzamiento de ataques para escanear y explotar a otros sistemas que
quiere atacar, tambin usa programas llamados sniffers para capturar todo el trfico de la red,
incluyendo sesiones de telnet y FTP (File Transfer Protocol).
En esta fase el Hacker puede tener la habilidad de subir, bajar y alterar programas y data.
En esta fase el hacker quiere permanecer indetectable y para eso remueve evidencia de su
penetracin al sistema y hace uso de Backdoor (puertas traseras) y Troyanos para ganar acceso en
otra ocasin y tratar de tener acceso a cuentas de altos privilegios como cuentas de Administrador.
Tambin usan los caballos de Troya (Trojans) para transferir nombres de usuarios, passwords e
incluso informacin de tarjetas de crdito almacenada en el sistema.

Fase 5 Cubrir las huellas (Covering Tracks) (Eliminacin de pruebas)

En esta fase es donde el Hacker trata de destruir toda la evidencia de sus actividades ilcitas y lo
hace por varias razones entre ellas seguir manteniendo el acceso al sistema comprometido ya que si
borra sus huellas los administradores de redes no tendrn pistas claras del atacante y el Hacker
podr seguir penetrando el sistema cuando quiera, adems borrando sus huellas evita ser detectado
y ser atrapado por la polica o los Federales.
Las herramientas y tcnicas que usa para esto son caballos de Troya, Steganography, Tunneling,
Rootkits y la alteracin de los log files (Archivos donde se almacenan todos los eventos ocurridos
en un sistema informtico y permite obtener informacin detallada sobre los hbitos de los
usuarios), una vez que el Hacker logra plantar caballos de Troya en el sistema este asume que tiene
control total del sistema.





1. Visita los siguientes enlaces:
http://www.isecauditors.com/es/test-intrusion.html




http://pentestmag.com/



-------

1. Ejecuta y busca informacin del comando:
nslookup [-opcin] [nombre de host] [servidor]
Nslookup.exe es una herramienta administrativa de la lnea de comandos para probar y solucionar
problemas de los servidores DNS. Esta herramienta se instala junto con el protocolo TCP/IP a travs del
Panel de control. En este artculo se incluyen varias sugerencias para utilizar Nslookup.exe.
Para utilizar Nslookup.exe, tenga en cuenta lo siguiente:
El protocolo TCP/IP debe estar instalado en el equipo donde se ejecuta Nslookup.exe
Se debe especificar al menos un servidor DNS cuando se ejecuta el comando IPCONFIG /ALL desde
un smbolo del sistema.
Nslookup siempre devolver el nombre del contexto actual. Si no califica totalmente una consulta
de nombre (es decir, si no utiliza el punto del final), la consulta se anexar al contexto actual. Por
ejemplo, la configuracin de DNS actual es att.com y se realiza una consulta en
www.microsoft.com; la primera consulta saldr como www.microsoft.com.att.com porque la
consulta no est completa. Este comportamiento puede ser incoherente con las versiones de otro
proveedor de Nslookup y este artculo pretende clarificar el comportamiento de Nslookup.exe de
Microsoft Windows NT.
Si ha implementado el uso de la lista de bsquedas en el Orden de bsqueda del sufijo de dominio
definido en la ficha DNS de la pgina Propiedades de Microsoft TCP/IP, la devolucin no se
producir. La consulta se anexar a los sufijos de dominio especificados en la lista. Para evitar
utilizar la lista de bsquedas, utilice siempre un Nombre de dominio completo (es decir, agregue el
punto final al nombre).

Nslookup.exe se puede ejecutar en dos modos: interactivo y no interactivo. El modo no interactivo es til
cuando slo se necesita devolver un fragmento de datos. La sintaxis para el modo no interactivo es la
siguiente:
nsl ookup [ - opt i on] [ host name] [ ser ver ]


Para iniciar Nslookup.exe en modo interactivo, basta con escribir "nslookup" en el smbolo del sistema:
C: \ > nsl ookup
Def aul t Ser ver : nameser ver 1. domai n. com
Addr ess: 10. 0. 0. 1
>


Si se escribe "help" o "?" en el smbolo del sistema se generar una lista de comandos disponibles. Todo lo
que escriba en el smbolo del sistema que no se reconozca como un comando vlido se supone que es un
nombre de host y se intenta resolver utilizando el servidor predeterminado. Para interrumpir comandos
interactivos, presione CTRL+C. Para salir del modo interactivo y volver al smbolo del sistema, escriba exit
en el smbolo del sistema.

Lo siguiente es la ayuda generada y contiene la lista completa de opciones:
Commands: ( i dent i f i er s ar e shown i n upper case, [ ] means opt i onal )

NAME - pr i nt i nf o about t he host / domai n NAME usi ng def aul t
ser ver
NAME1 NAME2 - as above, but use NAME2 as ser ver
hel p or ? - pr i nt i nf o on common commands
set OPTI ON - set an opt i on

al l - pr i nt opt i ons, cur r ent ser ver and host
[ no] debug - pr i nt debuggi ng i nf or mat i on
[ no] d2 - pr i nt exhaust i ve debuggi ng i nf or mat i on
[ no] def name - append domai n name t o each quer y
[ no] r ecur se - ask f or r ecur si ve answer t o quer y
[ no] sear ch - use domai n sear ch l i st
[ no] vc - al ways use a vi r t ual ci r cui t
domai n=NAME - set def aul t domai n name t o NAME
sr chl i st =N1[ / N2/ . . . / N6] - set domai n t o N1 and sear ch l i st t o N1, N2,
and so on
r oot =NAME - set r oot ser ver t o NAME
r et r y=X - set number of r et r i es t o X
t i meout =X - set i ni t i al t i me- out i nt er val t o X seconds
t ype=X - set quer y t ype ( f or exampl e, A, ANY, CNAME, MX,
NS, PTR, SOA, SRV)
quer yt ype=X - same as t ype
cl ass=X - set quer y cl ass ( f or exampl e, I N ( I nt er net ) , ANY)
[ no] msxf r - use MS f ast zone t r ansf er
i xf r ver =X - cur r ent ver si on t o use i n I XFR t r ansf er r equest

ser ver NAME - set def aul t ser ver t o NAME, usi ng cur r ent def aul t ser ver
l ser ver NAME - set def aul t ser ver t o NAME, usi ng i ni t i al ser ver
f i nger [ USER] - f i nger t he opt i onal NAME at t he cur r ent def aul t host
r oot - set cur r ent def aul t ser ver t o t he r oot
l s [ opt ] DOMAI N [ > FI LE] - l i st addr esses i n DOMAI N ( opt i onal : out put t o
FI LE)

- a - l i st canoni cal names and al i ases
- d - l i st al l r ecor ds
- t TYPE - l i st r ecor ds of t he gi ven t ype ( f or exampl e, A, CNAME,
MX, NS, PTR, and so on)

vi ew FI LE - sor t an ' l s' out put f i l e and vi ew i t wi t h pg
exi t - exi t t he pr ogr am


Se pueden establecer varias opciones diferentes en Nslookup.exe ejecutando el comando set en el smbolo
del sistema. Para ver una lista completa de estas opciones, escriba set all. Vea arriba, bajo el comando set,
para obtener una lista de las opciones disponibles.



Buscar tipos de datos diferentes
Para buscar tipos de datos diferentes dentro del espacio de nombres de dominio, utilice el comando set
type o set q[uerytype] en el smbolo del sistema. Por ejemplo, para consultar los datos del intercambiador
de correo, escriba lo siguiente:
C: \ > nsl ookup
Def aul t Ser ver : ns1. domai n. com
Addr ess: 10. 0. 0. 1

> set q=mx
> mai l host
Ser ver : ns1. domai n. com
Addr ess: 10. 0. 0. 1

mai l host . domai n. com MX pr ef er ence = 0, mai l exchanger =
mai l host . domai n. com
mai l host . domai n. com i nt er net addr ess = 10. 0. 0. 5
>


La primera vez que se realiza una consulta de un nombre remoto, la respuesta es autoritativa, pero las
consultas subsiguientes no lo son. La primera vez que se consulta un host remoto, el servidor DNS local se
pone en contacto con el servidor DNS que es autoritativo para ese dominio. El servidor DNS local
almacenar en memoria cach esa informacin, por lo que las consultas subsiguientes se respondern de
forma no autoritativa a partir de la cach del servidor local.



Consultar directamente desde otro servidor de nombres
Para consultar directamente otro servidor de nombres, utilice los comandos server o lserver para cambiar a
ese servidor de nombres. El comando lserver utiliza el servidor local para obtener la direccin del servidor
al que se desea cambiar, mientras que el comando server utiliza el servidor predeterminado actual para
obtener la direccin.

Ejemplo:
C: \ > nsl ookup

Def aul t Ser ver : nameser ver 1. domai n. com
Addr ess: 10. 0. 0. 1

> ser ver 10. 0. 0. 2

Def aul t Ser ver : nameser ver 2. domai n. com
Addr ess: 10. 0. 0. 2
>

Utilizar Nslookup.exe para transferir toda la zona
Nslookup puede utilizarse para transferir toda una zona mediante el comando ls. Esto es til para ver todos
los hosts que hay dentro de un dominio remoto. La sintaxis del comando ls es la siguiente:
l s [ - a | d | t t ype] domai n [ > f i l ename]


Si se utiliza ls sin argumentos se devolver una lista de todas las direcciones y datos del servidor de
nombres. El modificador -a devolver alias y nombres cannicos, -d devolver todos los datos y -t filtrar
por tipo.

Ejemplo:
>l s domai n. com
[ nameser ver 1. domai n. com]
nameser ver 1. domai n. com. NS ser ver = ns1. domai n. com
nameser ver 2. domai n. com NS ser ver = ns2. domai n. com
nameser ver 1 A 10. 0. 0. 1
nameser ver 2 A 10. 0. 0. 2

>


Las transferencias de zona se pueden bloquear en el servidor DNS de manera que slo las direcciones o las
redes autorizadas puedan realizar esta funcin. Se devolver el error siguiente si se ha establecido la
seguridad de la zona:
*** No se puede hacer una lista del dominio ejemplo.com.: Consulta rechazada

Para obtener informacin adicional, consulte el artculo o los artculos siguientes en Microsoft Knowledge
Base:
193837 Configuracin predeterminada de seguridad de la zona del servidor DNS de Windows NT 4.0
Solucionar problemas de Nslookup.exe
El servidor predeterminado super el tiempo de espera
Al iniciar la utilidad Nslookup.exe pueden producirse los errores siguientes:
*** No se puede encontrar el nombre de servidor para la direccin w.x.y.z: Agotado el tiempo de espera

NOTA: w.x.y.z es el primer servidor DNS mostrado en la lista Orden de bsqueda de servicio DNS.
*** No se puede encontrar el nombre de servidor para la direccin 127.0.0.1: Agotado el tiempo de espera

El primer error indica que no se puede alcanzar el servidor DNS o que el servicio no est ejecutndose en
ese equipo. Para corregir este problema, inicie el servicio DNS en ese servidor o compruebe si hay
problemas de conectividad.

El segundo error indica que no se ha definido ningn servidor en la lista Orden de bsqueda de servicio
DNS. Para corregir este problema, agregue a esta lista la direccin IP de un servidor DNS vlido.

Para obtener informacin adicional, consulte el siguiente artculo en Microsoft Knowledge Base:
172060 NSLOOKUP: no se puede encontrar el nombre de servidor para la direccin 127.0.0.1
No se puede encontrar el nombre de servidor al iniciar Nslookup.exe
Al iniciar la utilidad Nslookup.exe puede producirse el siguiente error:
*** No se puede encontrar el nombre de servidor para la direccin w.x.y.z: Dominio inexistente


Este error se produce cuando no hay ningn registro PTR para la direccin IP del servidor de nombres.
Cuando Nslookup.exe se inicia, hace una bsqueda inversa para obtener el nombre del servidor
predeterminado. Si no existen ningn dato PTR, se devuelve este mensaje de error. Para corregirlo,
asegrese de que existe una zona de bsqueda inversa y que contiene registros PTR para los servidores de
nombres.

Para obtener informacin adicional, consulte el siguiente artculo en Microsoft Knowledge Base:
172953 Cmo instalar y configurar el servidor DNS de Microsoft
Nslookup no funciona en dominios secundarios
Cuando se consulta o se realiza una transferencia de zona en un dominio secundario, Nslookup puede
devolver los errores siguientes:
*** ns.domain.com no puede encontrar child.domain.com.: Dominio inexistente
*** No se puede hacer una lista del dominio child.domain.com.: Dominio inexistente


En el Administrador de DNS se puede agregar un nuevo dominio bajo la zona primaria, creando as un
dominio secundario. Al crear un dominio secundario de esta manera no se crea un archivo de base de datos
independiente para el dominio, por lo que al consultar as ese dominio o ejecutar una transferencia de zona
en l se generarn los errores anteriores. Al ejecutar una transferencia de zona en el dominio primario se
mostrarn datos tanto para el dominio primario como para el dominio secundario. Para evitar este
problema, cree una nueva zona primaria en el servidor DNS para el dominio secundario.

ping <ip> /parmetro valor /parametro2 valor

El comando ping sirve para verificar la conectividad de IP. Cuando est resolviendo problemas,
puede usar ping para enviar una solicitud de eco ICMP a un nombre de host de destino o a una
direccin IP. Use ping siempre que necesite comprobar que un equipo host puede conectarse a la
red TCP/IP y a los recursos de red. Tambin puede usar ping para aislar problemas de hardware de
red y configuraciones incompatibles.
Siga este proceso para diagnosticar la conectividad de la red:
1. Haga ping a la direccin de bucle invertido para verificar que TCP/IP est configurado
correctamente en el equipo local.

ping 127.0.0.1
2. Haga ping a la direccin IP del equipo local para verificar que se agreg correctamente a la red.

ping direccin_IP_de_host_local
3. Haga ping a la direccin IP de la puerta de enlace predeterminada para verificar que funciona y que
se puede comunicar con un host local en la red local.

ping direccin_IP_de_puerta_enlace_predeterminada
4. Haga ping a la direccin IP de un host remoto para verificar que se puede comunicar a travs de un
enrutador.

ping direccin_IP_de_host_remoto
En la siguiente tabla se muestran algunas opciones tiles del comando ping.

Opcin Uso
-n cuenta
Determina el nmero de solicitudes de eco para enviar. El valor predeterminado es
de 4 solicitudes.
-w tiempo de
espera
Permite ajustar el tiempo de espera (en milisegundos). El valor predeterminado es
de 1.000 (tiempo de espera de un segundo).
-l tamao
Permite ajustar el tamao del paquete de ping. El tamao predeterminado es de 32
bytes.
-f
Establece el bit No fragmentar en el paquete de ping. De manera predeterminada,
el paquete de ping permite la fragmentacin.
/? Proporciona la ayuda del comando.
En el siguiente ejemplo se muestra cmo enviar dos pings, cada uno con un tamao de 1.450 bytes,
a la direccin IP 131.107.8.1:
C: \ >pi ng - n 2 - l 1450 131. 107. 8. 1
Haci endo pi ng a 131. 107. 8. 1 con 1450 byt es de dat os:

Respuest a desde 131. 107. 8. 1: byt es=1450 t i empo<10ms TTL=32
Respuest a desde 131. 107. 8. 1: byt es=1450 t i empo<10ms TTL=32

Est ad st i cas de pi ng par a 131. 107. 8. 1:
Paquet es: envi ados = 2, r eci bi dos = 2, per di dos = 0 ( 0%per di dos) ,
Ti empos apr oxi mados de i da y vuel t a en mi l i segundos:
M ni mo = 0ms, Mxi mo = 10ms, Medi a = 2ms
De manera predeterminada, ping espera 4.000 milisegundos (4 segundos) para que se devuelva
cada respuesta antes de mostrar el mensaje "Tiempo de espera agotado para esta solicitud". Si el
sistema remoto al que se hace ping se encuentra en un vnculo con grandes retrasos, como los
vnculos por satlite, la devolucin de las respuestas puede tardar ms tiempo. Puede usar la opcin
-w (tiempo de espera) para especificar un mayor tiempo de espera.
Una respuesta de "Red de destino inaccesible" significa que no hay una ruta al destino. Deber
comprobar la tabla de enrutamiento del enrutador indicado en la direccin "Respuesta desde" en el
mensaje "Red de destino inaccesible". Para obtener ms informacin sobre la tabla de enrutamiento,
consulte Administracin de la tabla de enrutamiento IPv4.
La respuesta "Tiempo de espera agotado para esta solicitud" significa que no hubo respuesta al ping
en el perodo de tiempo predeterminado (1 segundo). Puede comprobar las opciones siguientes:
El comando ping est bloqueado en el firewall corporativo o personal.

Configure el firewall corporativo para que permita el acceso a red del comando ping. Configure el
firewall personal para que permita los paquetes de eco ICMP y de respuesta al eco.
Un enrutador est fuera de servicio.

Para comprobar los enrutadores de la ruta entre el origen y el destino, use el comando tracert.
El host de destino est fuera de servicio.

Verifique fsicamente que el host est funcionando o compruebe la conectividad mediante otro
protocolo.
No hay una ruta de vuelta al equipo.

Si el host est funcionando, puede comprobar si existe una ruta de vuelta; para ello, consulte la
puerta de enlace predeterminada y la tabla de enrutamiento local del host de destino.
La latencia de la respuesta es de ms de un segundo.

Use la opcin -w del comando ping para incrementar el tiempo de espera. Por ejemplo, para
permitir respuestas en un perodo de 5 segundos, use ping-w 5000.
El comando ping usa la resolucin de nombres de tipo Windows Sockets para resolver un nombre
de equipo en una direccin IP, de modo que si el proceso de hacer ping mediante direcciones es
correcto pero da error cuando se hace con nombres, el problema se encontrara en la resolucin de
nombres o de direcciones y no en la conectividad de la red.

tracert <dir_ip>

WINDOWS XP.
Este artculo describe TRACERT (Trace Route), una utilidad de lnea de comandos que se utiliza para
determinar la ruta que toma un paquete de protocolo de Internet (IP) para alcanzar su destino.

En este artculo se tratan los siguientes temas:
Cmo utilizar la utilidad TRACERT
Cmo utilizar TRACERT para solucionar problemas
Cmo utilizar las opciones de TRACERT
Cmo utilizar la utilidad TRACERT
La utilidad de diagnstico TRACERT determina la ruta a un destino mediante el envo de paquetes de eco de
Protocolo de mensajes de control de Internet (ICMP) al destino. En estos paquetes, TRACERT utiliza valores
de perodo de vida (TTL) IP variables. Dado que los enrutadores de la ruta deben disminuir el TTL del
paquete como mnimo una unidad antes de reenviar el paquete, el TTL es, en realidad, un contador de
saltos. Cuando el TTL de un paquete alcanza el valor cero (0), el enrutador devuelve al equipo de origen un
mensaje ICMP de "Tiempo agotado".

TRACERT enva el primer paquete de eco con un TTL de 1 y aumenta el TTL en 1 en cada transmisin
posterior, hasta que el destino responde o hasta que se alcanza el TTL mximo. Los mensajes ICMP "Tiempo
agotado" que devuelven los enrutadores intermedios muestran la ruta. Observe, sin embargo, que algunos
enrutadores colocan paquetes que han agotado el TTL sin avisar y que estos paquetes son invisibles para
TRACERT.

TRACERT imprime una lista ordenada de los enrutadores intermedios que devuelven mensajes ICMP
"Tiempo agotado". La opcin -d con el comando tracert le indica a TRACERT que no efecte una bsqueda
de DNS en todas las direcciones IP, de manera que TRACERT devuelve la direccin IP de la interfaz del lado
cercano de los enrutadores.

En el siguiente ejemplo del comando tracert y su resultado, el paquete viaja a travs de dos enrutadores
(157.54.48.1 y 11.1.0.67) para llegar al host 11.1.0.1. En este ejemplo, la puerta de enlace predeterminada
es 157.54.48.1 y la direccin IP del enrutador de la red 11.1.0.0 es 11.1.0.67.

El comando:
C:\>tracert 11.1.0.1
El resultado del comando:
Tr aza a l a di r ecci n 11. 1. 0. 1 sobr e cami nos de 30 sal t os como mxi mo
- - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - -
1 2 ms 3 ms 2 ms 157. 54. 48. 1
2 75 ms 83 ms 88 ms 11. 1. 0. 67
3 73 ms 79 ms 93 ms 11. 1. 0. 1

Tr aza compl et a.

Cmo utilizar TRACERT para solucionar problemas
Puede utilizar TRACERT para averiguar en qu lugar de la red se detuvo un paquete. En el siguiente
ejemplo, la puerta de enlace predeterminada ha determinado que no existe una ruta vlida para el host en
22.110.0.1. Probablemente haya un problema de configuracin del enrutador o no exista la red 22.110.0.0,
lo que indicara que la direccin IP es incorrecta.

El comando:
C:\>tracert 22.110.0.1
El resultado del comando:
Tr aza a l a di r ecci n 22. 110. 0. 1 sobr e cami nos de 30 sal t os como mxi mo
- - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - -
1 157. 54. 48. 1 devuel ve: r ed de dest i no i naccesi bl e.

Tr aza compl et a.

TRACERT es til a la hora de solucionar problemas en las redes grandes, donde se pueden tomar varias
rutas para llegar a un destino o donde existen muchos componentes intermedios (enrutadores o puentes).
Cmo utilizar las opciones de TRACERT
Hay varias opciones de la lnea de comandos que se pueden utilizar con TRACERT, aunque generalmente
estas opciones no son necesarias para solucionar los problemas ms habituales.

El siguiente ejemplo de sintaxis de comandos muestra todas las opciones posibles:
tracert -d -h n_max_saltos -j lista_host -w tiempo_esperahost_destino
Descripcin de los parmetros:
- d
Especi f i ca que no se r esuel van l as di r ecci ones en nombr es de host

- h n_max_sal t os
Especi f i ca el nmer o mxi mo de sal t os par a al canzar el dest i no

- j l i st a- host
Especi f i ca l a r ut a de or i gen a l o l ar go de l a l i st a de host s

- w t i empo_esper a
Esper a el nmer o de mi l i segundos especi f i cados en t i empo_esper a par a cada
r espuest a

host _dest i no
Especi f i ca el nombr e de l a di r ecci n I P del host de dest i no

Tracert
Determina la ruta tomada hacia un destino Enviar solicitud de eco de protocolo de mensajes de
Control de Internet (ICMP) o los mensajes ICMPv6 al destino con tiempo de incremento gradual a
los valores de campo de vida (TTL). La ruta mostrada es la lista de interfaces de enrutador casi al
lado de los enrutadores de la ruta de acceso entre un host de origen y destino. La interfaz del lado
cercano es la interfaz del enrutador ms cercano al host remitente en la ruta de acceso. Si se utiliza
sin parmetros, tracert muestra la Ayuda.
Sintaxis
tracert [-d] -h saltosMximos -h saltosMximos ] -jlistaHost] -wtiempo de espera] [-R]-S -
SSrcAddr] [-4][-6] [-6]TargetName TargetName
Parmetros
-d
Impide que tracert intente resolver las direcciones IP de los enrutadores intermedios en sus
nombres. Esto puede acelerar la visualizacin de los resultados de tracert .
-h SaltosMximos
Especifica el nmero mximo de saltos en la ruta de acceso para buscar el destino (destino). El
valor predeterminado es 30 saltos.
-j ListaHost
Especifica que los mensajes de solicitud de eco utilizarn la opcin ruta de origen no estricta en el
encabezado IP con el conjunto de destinos intermedios especificados en listaHost. Con el
enrutamiento de origen no estricta, destinos intermedios sucesivos pueden separarse por uno o
varios enrutadores. El nmero mximo de direcciones o nombres en la lista de hosts es 9. ListaHost
ListaHost es una serie de direcciones IP (en notacin decimal con puntos) separadas por espacios.
Utilice este parmetro slo cuando el seguimiento de las direcciones IPv4.
-w Tiempo de espera
Especifica la cantidad de tiempo en milisegundos de espera para el mensaje de tiempo excedido de
ICMP o de respuesta de eco correspondiente a un mensaje de solicitud de eco dado que se recibir.
Si no se recibe en el tiempo de espera, se muestra un asterisco (**). El tiempo de espera
predeterminado es 4000 (4 segundos).
-R
Especifica que se utilizar el encabezado de extensin de enrutamiento IPv6 para enviar un
mensaje de solicitud de eco al host local, usando el destino como destino intermedio y
comprobando la ruta inversa.
-S
Especifica la direccin de origen en los mensajes de solicitud de eco. Utilice este parmetro slo
cuando el seguimiento de las direcciones IPv6.
-4
Especifica que Tracert.exe solamente puede utilizar IPv4 para la traza.
-6
Especifica que Tracert.exe solamente puede utilizar IPv6 para la traza.
TargetName
Especifica el destino, identificado por el nombre de host o direccin IP.
-?
Muestra la Ayuda en el smbolo del sistema.
Observaciones
Esta herramienta de diagnstico determina la ruta tomada hacia un destino mediante el envo de
mensajes de solicitud de eco de ICMP con variables de tiempo para los valores de vida (TTL) para el
destino. Cada enrutador de la ruta de acceso es necesario para disminuir el valor de TTL de un
paquete IP por al menos 1 antes de reenviarlo. De hecho, el TTL es un contador del nmero
mximo de vnculos. Cuando el TTL de un paquete llega a 0, el enrutador debe devolver un mensaje
de tiempo excedido de ICMP para el equipo de origen. Para determinar la ruta, Tracert enva el
primer mensaje de solicitud de eco con un TTL de 1 y se alcanza incrementando el TTL en 1 en cada
transmisin siguiente hasta que responda el destino o el nmero mximo de saltos. El nmero
mximo de saltos predeterminado es 30 y se puede especificar mediante el parmetro -h . La ruta
de acceso se determina examinando los mensajes de tiempo excedido de ICMP devueltos por los
enrutadores intermedios y el mensaje de respuesta de eco devuelto por el destino. Sin embargo,
algunos enrutadores no devuelven mensajes de tiempo excedido para paquetes con valores de
perodo de vida caducados y son invisibles para el comando tracert. En este caso, se muestra una
fila de asteriscos (**) para ese salto.
Para trazar una ruta de acceso y proporcionar latencia de red y prdida de paquetes para cada
enrutador y vnculo de la ruta de acceso, utilice el comando pathping .
Este comando slo est disponible si el Protocolo de Internet (TCP/IP) est instalado como un
componente en las propiedades de un adaptador de red en conexiones de red.
Ejemplos
Para trazar la ruta de acceso al host llamado corp7.microsoft.com, escriba:
tracert corp7.microsoft.com
Para trazar la ruta de acceso al host llamado corp7.microsoft.com e impedir que la resolucin de
cada direccin IP a su nombre, escriba:
tracert -d corp7.microsoft.com
Para trazar la ruta de acceso al host llamado corp7.microsoft.com y usar el 10.12.0.1-10.29.3.1-
10.1.44.1 de la ruta de origen no estricta, escriba:
tracert -j 10.12.0.1 10.29.3.1 10.1.44.1 corp7.microsoft.com
Formato de leyenda
Formato Significado
Cursiva Informacin que debe suministrar el usuario
Negrita
Elementos que el usuario debe escribir
exactamente como se muestra
Puntos suspensivos (...)
Parmetro que puede repetirse varias veces
en una lnea de comandos
Entre corchetes ([]) Elementos opcionales
Entre llaves ({});opciones separadas por barras
verticales (|). Ejemplo: {par|impar}
Conjunto de opciones desde el que el usuario
debe elegir slo una
Cour i er f ont
Salida de cdigo o programa


netstat [-a] [-e] [-n] [-o] [-s] [-p PROTO] [-r] [interval]

Netstat
Muestra las conexiones TCP activas, puertos en el que el equipo escucha, las estadsticas de
Ethernet, la tabla de enrutamiento IP, las estadsticas de IPv4 (para los protocolos IP, ICMP, TCP y
UDP) y las estadsticas de IPv6 (para el IPv6, ICMPv6, TCP sobre IPv6 y UDP a travs de
protocolos IPv6). Si se utiliza sin parmetros, netstat muestra las conexiones TCP activas.
Sintaxis
netstat [-a] [-e] [-n] [-o] -p [-n] Protocolo [-o] ] [-r] Protocolo[-s] [-r][Intervalo] [-s]
Parmetros
-a
Muestra todas las conexiones TCP activas y los puertos TCP y UDP en el que est escuchando el
equipo.
-e
Muestra las estadsticas de Ethernet, tales como el nmero de bytes y paquetes enviados y
recibidos. Este parmetro se puede combinar con -s.
-n
Muestra las conexiones TCP activas, sin embargo, direcciones y nmeros de puerto se expresan
numricamente y se realiza ningn intento para determinar los nombres.
-o
Muestra las conexiones TCP activas e incluye el identificador de proceso (PID) para cada conexin.
Puede encontrar la aplicacin basada en el PID en la ficha de procesos en el Administrador de
tareas de Windows. Este parmetro se puede combinar con - a-n -n y -p.
-p Protocolo
Muestra las conexiones del protocolo especificado por Protocolo. En este caso, el Protocolo puede
ser tcp, udp, tcpv6o udpv6. Si este parmetro se utiliza con -s para mostrar estadsticas por
protocolo, el Protocolo puede ser tcp, udp, icmp, ip, tcpv6, udpv6, icmpv6o ipv6.
-s
Muestra estadsticas por protocolo. De forma predeterminada, se muestran las estadsticas para los
protocolos TCP, UDP, ICMP e IP. Si est instalado el protocolo IPv6, las estadsticas se muestran
para el protocolo TCP sobre IPv6, UDP sobre IPv6, ICMPv6 y IPv6 protocolos. El parmetro -p puede
utilizarse para especificar un conjunto de protocolos.
-r
Muestra el contenido de la tabla de enrutamiento IP. Esto es equivalente al comando route print .
Intervalo
Vuelve a mostrar la informacin seleccionada cada intervalo de segundos. Presione CTRL+C para
detener el volver a mostrar. Si se omite este parmetro, netstat imprimir la informacin
seleccionada una sola vez.
/?
Muestra la Ayuda en el smbolo del sistema.
Observaciones
Los parmetros utilizados con este comando deben ir precedidos de un guin (-) en lugar de una
barra diagonal (/).-/ /
Netstat proporciona estadsticas para lo siguiente:
o Proto

El nombre del protocolo (TCP o UDP).
o Direccin local

La direccin IP del equipo local y el nmero de puerto que se utiliza. A menos que se
especifica el parmetro -n , se muestran el nombre del equipo local que corresponde a la
direccin IP y el nombre del puerto. Si el puerto no est an establecido, el nmero de
puerto se muestra como un asterisco (**).
o Direccin externa

La direccin IP y puerto nmero del equipo remoto al que est conectado el socket. A
menos que se especifica el parmetro -n , se muestran los nombres que se corresponde
con la direccin IP y el puerto. Si el puerto no est an establecido, el nmero de puerto se
muestra como un asterisco (**).
o (estado)

Indica el estado de una conexin TCP. Los Estados posibles son los siguientes:

CLOSE_WAIT

CERRADO

ESTABLECIDO

FIN_WAIT_1

FIN_WAIT_2

LAST_ACK

ESCUCHAR

SYN_RECEIVED

SYN_SEND

TIMED_WAIT

Para obtener ms informacin acerca de los Estados de una conexin TCP, consulte RFC
793.
Este comando slo est disponible si el Protocolo de Internet (TCP/IP) est instalado como un
componente en las propiedades de un adaptador de red en conexiones de red.
Ejemplos
Para mostrar las estadsticas de Ethernet y las estadsticas de todos los protocolos, escriba:
netstat -e -s
Para mostrar las estadsticas de los protocolos TCP y UDP, escriba:
netstat -s -p tcp udp
Para mostrar las conexiones TCP activas y el ID de proceso cada 5 segundos, escriba:
netstat -o 5
Para mostrar TCP activas las conexiones y el proceso de identificadores mediante el uso de forma
numrica, escriba:
netstat - n -o
Formato de leyenda
Formato Significado
Cursiva Informacin que debe suministrar el usuario
Negrita
Elementos que el usuario debe escribir
exactamente como se muestra
Puntos suspensivos (...)
Parmetro que puede repetirse varias veces
en una lnea de comandos
Entre corchetes ([]) Elementos opcionales
Entre llaves ({});opciones separadas por barras
verticales (|). Ejemplo: {par|impar}
Conjunto de opciones desde el que el usuario
debe elegir slo una
Cour i er f ont
Salida de cdigo o programa
Otros recursos
Referencia de lnea de comandos A-z
Introduccin al shell de comandos

2. Visita los siguientes enlaces:
http://www.internic.net/whois.html


http://www.whois.com


http://www.dnsstuff.com


http://network-tools.com/

http://www.chatox.com/

http://www.yougetsignal.com/tools/visual-tracert/



3. Busca el significado de fingerprinting y footprinting
1. Fingerprinting activo.
El fingerprinting activo se define como aquel en el que el atacante realiza alguna accin que
provoque algn tipo de respuesta en la vctima. Esto se traduce en el envo de paquetes destinados a
la maquina vctima, con los que comprobar su comportamiento en situaciones anmalas o no
especificadas por los estndares.
Las pruebas ms usuales que se suelen realizar son:
Sonda FIN. Se enva un paquete FIN a un puerto abierto del objetivo y se espera respuesta.
Windows, BSDI, CISCO, MVS, IRIX o HP-UX responden con un RESET.
Flags TCP incorrectos. Consiste en el envo de un paquete con flags no definidos (64 o 128) en la
cabecera de un paquete SYN.
ISN o numero de secuencia inicial. Se trata de comprobar el numero inicial de secuencia elegido
por la vctima en una conexin TCP.
Bit de no fragmentacin. Algunos sistemas operativos como Solaris activan este bit en algunos de
sus paquetes para mejorar el rendimiento.
Inundacin de paquetes SYN. Una tcnica muy agresiva basada en el envo masivo de paquetes
SYN a la maquina remota. Muchas dejan de aceptar conexiones tras recibir 8 paquetes seguidos.
Por lo general los sistemas modernos implementan contramedidas para este tipo de ataques, que
adems son muy ruidosos y pueden tener efectos colaterales no deseados.

Algunas herramientas de este tipo de fingerprinting seran nmap,xprobe,hping
2. Fingerprinting pasivo.
Cuando se utiliza la variante pasiva de la tcnica del fingerprinting los paquetes a analizar se
obtienen directamente de la red local, lo cual quiere decir que el sistema atacante no genera ningn
tipo de comunicacin hacia el destino con el fin de provocar una respuesta. Esta es sin duda mi
tcnica favorita, ya que te permite pasar totalmente inadvertido.
La implicacin inmediata de esta tcnica es que no permite analizar sistemas fuera de la red local o
ambito de broadcast en el que se est, y que obliga al atacante a configurar su dispositivo de red en
modo promscuo. Adicionalmente significa que el atacante est a merced del trafico que circule por
la red. Si desea obtener informacin de una maquina concreta es posible que tenga que esperar
bastante tiempo o que incluso nunca llegue a ver un paquete proveniente de dicha maquina hacia
otra.
Una de las herramientas de este tipo de fingerprinting sera p0f y sus versiones posteriores. Aunque
ya veremos en un post dedicado posteriormente a P0f como se puede obtener el so de una mquina
realizando conexiones a ella y de forma pasiva!
Los dos terminos anteriormente explicados los podemos mostrar mediante la siguiente figura,
sacada de securityfocus:

footpriting es un proceso que se hace antes de hacer un ataque a alguna empresa. Consiste en hacer una
recopilacin de toda la informacin necesaria para hacer un perfecto ataque intrusin, En esta parte del
Footpriting es donde el atacante obtiene, rene y organiza toda la informacin posible sobre su objetivo o
su vctima, mientras ms informacin obtiene con mayor precisin puede lanzar un ataque, informacin
como:

Rango de Red y sub-red (Network Range y subnet mask)
Acertar maquinas o computadoras activas
Puertos abiertos y las aplicaciones que estn corriendo en ellos.
Detectar Sistemas Operativos
Nombres de Dominios (Domain Names)
Bloques de Red (Network Blocks)
Direcciones IP especficas
Pas y Ciudad donde se encuentran los Servidores
Informacin de Contacto (nmeros telefnicos, emails, etc.)
DNS records

Mucha de la informacin, antes mencionada, como Domain Names, algunas direcciones IP, Pas, Ciudad, e
informacin de contacto los Crackers la obtienen buscando en las bases de datos de WHOIS.
Las bases de datos WHOIS mantienen detalles de direcciones IP registradas en 5 regiones del Mundo. Estas
bases de datos son manejadas por 5 organizaciones llamadas Regional Internet Registry (RIR).
Las 5 bases de datos WHOIS estn localizadas en:
1. Amrica del Norte (ARIN)
2. Amrica del Sur, Amrica Central y el Caribe (LACNIC)
3. Europa, el medio Este y Asia Central (RIPE NCC)
4. Asia del Pacifico (APNIC)
5. frica (AfriNIC)

Tambin se tocada algunos temas como la descripcin de las tools (herramientas) , se har una breve
descripcin sobre cada funcionamiento de cada una y un breve ejemplo.

qu Hace un hacker malicioso?



El Footpriting es el proceso de creacin de un mapa de redes y de sistema una organizacin , es este
proceso esta incluido la recopilacin de informacin de cualquier medio, en el Footpriting se hace
determinacin de la target ( definicin.) y despus de ello hace un tipo de recopilacin e informacin con
mtodos no intrusivos, una de las herramientas mas esenciales y primordiales es GOOGLE , es
indispensable conocer (Como intittle, site, allinurl, etc) .

Junto al escaneo, enumeracin y Footpriting es una de las tres etapas utilizada antes de hacer un ataque ,
en esta etapa se toma el 90% y el otro 10% si atacando. Los siete pasos que se toman antes del ataque son
divididos en las tres etapas nombradas anteriores:

- Detectar la informacin inicial
- Ubicar el rango de la red
- Comprobacin de los equipos activos
- Descubricion de los puerto abiertos y puntos de acceso
- Detencin del sistema operativo
- Descubricion de servicios en los puertos
- Mapa de la red

Footpriting
El Footpriting se aplica en los dos primeros pasos de las etapas de un ataque de un hacker , algunas de las
fuentes comunes de informacin incluyen el uso de :


- Domain name lookup
- Whois
- Nslookup


La mayora parte de la informacin que puede recopilar libremente y de manera legal, es muy importante
comprender el sistema de resolucin de dominio (DNS) para lograr una profunda compresin de esta etapa
y del funcionamiento de internet.
Inteligencia competitiva:

Implica la averiguacin de informacin sobre la competencia (productos, tecnologas, marketing, etc.)
existen varias herramientas que pueden ser utilizadas para esto, la inteligencia competitiva incluye diversos
temas como:

- Recopilacin de datos
- Anlisis de datos
- Verificacin de informacin
- Seguridad de informacin


Existen muchas empresas privadas que ofrecen el servicio de inteligencia competitiva, buscando en
internet la direccin de correo electrnica o el nombre de una empresa podemos entrar en las listas de
correo, foros, etc. Informacin sobre la empresa de donde trabaja ( esta parte es unas de las primordiales
en el Footpriting), otra fuente de informacin de til son las redes sociales y los sitios de empleos. En esta
parte podemos hacer el uso de una herramienta llamada Wayback Machine.




Este es un simple ejemplo del funcionamiento de Wayback Machine, hay nos muestra las modificaciones
que ha tenido la pgina de 1997 hasta la fecha.
Enumeracin de DNS


El sistema de resolucin de nombres permite bsicamente transformar nombres de domino en direcciones
IP, le corresponde a los RFC 1034 y 1035, la enumeracin de DNS es el proceso de ubicacin de todos los
servidores DNS y sus correspondientes registros de una organizacin, una compaa puede tener DNS
internos y externos que pueden brindar diferentes datos del objetivo, el sistema DNS utiliza tres
componentes principales:

- Clientes DNS
- Servidores DNS
- Zonas de autoridad

El DNS cosiste en un conjunto jerrquico de servidores DNS, cada dominio o subdominio tiene una o mas
zonas de autoridad que publican la informacin acerca del dominio, la jerarqua de las zonas de autoridad
coincide con la jerarqua de los dominios, al inicio de esa jerarqua se encuentra los servidores de raz , que
corresponden cuando se busca resolver un dominio de primer y segundo nivel, es posible utilizar
herramientas varias y sitios web especializados para realizar esta etapa de enumeracin de DNS, tal ves la
herramienta elemental para la enumeracin de DNS es NSLookup, dispone en toso los sistemas
operativos.


Durante el ao 2008 se encontraron diversas vulnerabilidades al sistema DNS y a una de las herramientas
ms difundidas, es muy importante conocer esta parte de un punto de vista tcnico e histrico.


DNS Zone Transfer:

Los datos contenidos en una zona DNS son sensibles por naturaleza, Individualmente, los registros DNS no
son sensibles, pero si un atacante obtiene una copia entera de un dominio, obtiene una lista completa de
todos los host de ese dominio, un atacante no necesita herramientas especiales para obtener una zona DNS
este mal configurado y que permita a cualquiera realizar una transferencia de zona, en generalmente solo
los servidores DNS dependientes necesitan realizar transferencia de zona.
DNS Denial of Servicie:

Si un atacante puede realizar una transferencia de zona, tambin puede realizar ataques de denegacin de
servicio contra esos servidores DNS realizando mltiples peticiones.

Whois


Es una herramienta y un protocolo que identifica informacin de registracin de un dominio. Esta definido
en el RFC 3912. El Whois evoluciono desde los primero Unix hasta los actuales. Las consultas se
han realizados tradicionalmente usando una interfaz de lnea de comandos , pero actualmente existen
multitud de pginas web que permiten realizar estas consultas, aunque siguen dependiendo internamente
del protocolo original.
Utilizando el whois, es posible recopilar informacin de registro como ser el nombre de la persona que
realizo el registro, dominio , su correo electrnico, nmero telefnico y nmeros IP de sus servidores
principales, esta informacin puede atentar contra la integridad y la privacidad y permitir a los spammer
capturar direcciones. Las herramientas whois recogen informacin sobre esta registracin
oficial obligatoria.
Su base de datos incluye informacin sobre direcciones IP y datos del dueo de un sitio, Puede ser
consultadas mediante herramientas de whois o su propio sitio web. Un ethical hacker deber conocer
sobre direcciones IP y sobre cmo encontrar la ubicacin geogrfica y camino hacia un objetivo.


rganos autorizados de asignacin de nmeros

IANA

la IANA es el rgano responsable de la coordinacin de algunos de los elementos clave que mantener
el buen funcionamiento de internet, si bien la internet es conocido por ser una red mundial libre del
centro de coordinacin, existe una necesidad tcnica de algunas de las principales partes de internet para
ser coordinada a nivel mundial y esta funcin est a cargo de la IANA.
La IANA las diversas actividades se pueden agrupar en tres categoras:
Nombres de dominios: IANA administra el DNS raz, el Int y. Arpa dominios IDN practicas y un recurso.
Numero de recursos: IANA coordina la reserva mundial de la propiedad intelectual y en forma de nmeros
proporcionndoles a los registros de internet.
Protocolos de asignaciones: Protocolo de internet, (los sistemas de enumeracin son gestionados por la
IANA , en relacin con los organismos de normalizacin.
ICANN

Es una organizacin sin fines de lucro que opera nivel internacional, responsable de asignar espacio de
direcciones numricas de protocolo de internet (IP), identificadores de protocolo y de las funciones de
gestin (o administracin) del sistema de nombre sd de dominio de primer nivel genricos ( gTLD ) y de
cdigos de funciones de gestin.

Entre otros.

Entidades de registro por regin geogrfica

AFRINIC - Afrincan Network Informacin Centre
AfriNIC es una organizacin no gubernamental y sin fines de lucro basada en las membreca de
organizacin. Su principal funcin es servir a la regin de frica como del registro regional de internet,
como los otros cuatro continentes que tienen sus propios RIR.
ARIN - American Registry for Internet

Proporciona un mecanismo para encontrar el contacto y registro
Informacin registrada por los recursos con ARIN. Contiene la base de datos de propiedad
intelectual direcciones, nmeros de sistema autnomo, las organizaciones o clientes que son. Asociados
con estos recursos, y los Puntos de Contacto [POC].

El ARIN WHOIS NO localiza cualquier informacin relacionada con el dominio, ni ninguna informacin
relativa a las redes militares. Localizar la informacin de dominio, y whois.nic.mil militar para la informacin
de la red.

LACNIC Latin America & Caribbean Network Information Center
Administra recursos de numeracin de internet contribuyendo a la creacin de oportunidades de
colaboracin y cooperacin en beneficio de la comunidad regional , la visin de esta entidad es ser lder en
construccin y articulacin de esfuerzos colaborativos para el desarrollo y estabilidad de internet en
Amrica latina y el caribe.

RIPE Reseaux IP Europeens Network Coordinacin Centre ( Registrate para ver este link.
Registrate Login )

Es una entidad encargada de distribuir y asignar los recursos de internet (IP4 y IP6 espacio de direcciones,
sistemas autnomo AS los nmeros de delegaciones DNS invertida) a las organizaciones en la regin de
servicio de RIP NCC.


APNIC - Asia Pacific Network Information Centre ( Registrate para ver este link. Registrate Login )

APNIC es un proceso abierto, basada en membreca, sin fines de lucro. Es uno de los cinco Registros
Regionales de Internet (RIR), encargada de asegurar la distribucin justa y responsable de gestin de
direcciones IP y los recursos conexos. Estos recursos son necesarios para el funcionamiento estable y fiable
de la Internet mundial.

Herramientas


WEB DATA EXTRACTOR

Una utilidad de gran alcance del extractor de los datos del acoplamiento de la tela. Extraiga el URL, la
etiqueta del meta (ttulo, desc, palabra clave), el texto del cuerpo, el email, el telfono, el fax de Web site,
los resultados de la bsqueda o la lista de URLs. Extraccin de alta velocidad, multi-roscada, exacta - ahorra
directamente datos al archivo de disco. El programa tiene filtros numerosos para restringir la sesin, como -
el filtro del URL, la fecha modificada, el tamao del archivo, el etc. Permite niveles seleccionables por el
usuario de la repeticin, los hilos de rosca de la recuperacin, descanso, la ayuda del poder y muchas otras
opciones.


Nslookup

Nslookup es un programa, utilizado para saber si el DNS est resolviendo correctamente los nombres y las
IP. Se utiliza con el comando nslookup, que funciona tanto en Windows como en UNIX para obtener la
direccin IP conociendo el nombre, y viceversa.



HTTrack web Copier

Le permite descargar un sitio Web desde Internet a un directorio local, construyendo recursivamente todos
los directorios, la obtencin de HTML, imgenes y otros archivos desde el servidor a su ordenador. HTTrack
organiza el sitio original en la estructura de enlaces relativos. Simply open a page of the "mirrored" website
in your browser, and you can browse the site from link to link, as if you were viewing it online. Basta con
abrir una pgina de los "espejos" en el sitio web de su navegador, y puede navegar por el sitio de un enlace
a otro, como si estuviera viendo en lnea. HTTrack can also update an existing mirrored site, and resume
interrupted downloads. HTTrack tambin puede actualizar un sitio reflejado existente, y reanudar
descargas interrumpidas. HTTrack is fully configurable, and has an integrated help system. HTTrack es
totalmente configurable, y se ha integrado un sistema de ayuda







Tracert


Tracert enva un paquete de eco ICMP con el nombre de acogida, pero con un TTL de 1 y, a continuacin,
con un TTL de 2 y, a continuacin, con un TTL de 3 y as sucesivamente. Tracert entonces obtener "TTL
expir en trnsito" mensaje de los destinos a los enrutadores hasta que el equipo host, finalmente se llega
y responde con la norma ICMP "respuesta de eco" de paquetes.


Sam Spade


Esta herramienta provee informacin sobre el DNS, WHOIS, IPBlock y permite hacer Ping, Dig, Trace, etc.





(software)
Path Analyzer Pro

Analizador de ruta Pro ofrece avanzadas de red con la ruta de bsqueda de pruebas de rendimiento, DNS,
Whois, y la red de resolucin para investigar problemas de red. Mediante la integracin de todas estas
caractersticas de gran alcance en una sencilla interfaz grfica, el Analizador de Ruta Pro se ha convertido
en una herramienta indispensable para cualquier red, sistemas, profesionales o de seguridad en Windows y
Mac OS X













Website Watcher

Es una utilidad para detectar si ha habido algn cambio en una pgina web que denote un actualizacin de
la misma. Usando un mnimo de conexin , almacena las dos versiones de la pgina en la que se ha
detectado el cambio y destaca los cambios producidos en el texto, dispone de multitud de filtros para
ignorar cambios que no interesen como por ejemplos nuevos banners, incluye tambin un gestor de
favoritos integrado y se integra con internet Explorer, Netscape y opera








1. Visita la Academia Virtual de Microsoft:
http://www.microsoftvirtualacademy.com/#fbid=XzJ8jMdoENg



2. Lee e instala la herramienta Microsoft EMET:
Documentacin: http://support.microsoft.com/kb/2458544/es



Descarga: http://www.microsoft.com/en-us/download/details.aspx?id=39273



3. Visita Karspersky Internet Security:
http://www.kaspersky.es/virusscanner




MDULO: SEGURIDAD EN EQUIPOS INFORMTICOS
TEMA 2. AMENAZAS A LA SEGURIDAD Y TIPOS DE ATAQUES INFORMTICOS PARTE 2 MIGUEL

1. Completa la siguiente tabla de tcnicas de escaneo:
NOTA: La Pila o Niveles OSI
TCNICA
ESCANEO
DESCRIPCION IMAGEN
TCP Connect
Scanning
esta es la forma ms
popular de escaneo TCP
y consiste bsicamente
en usar la llamada a
sistema connect() del
sistema operativo, si se
logra establecer la
conexin con el puerto de
la otra computadora
entonces este puerto esta
abierto. Las ventajas que
tiene esta forma de
escaneo es que no se
necesita ningn privilegio
especial para poder
llevarla a cabo, en la
mayora de los Unix
cualquier usuario puede
hacer uso de la llamada
connect(). Otra gran
ventaja es la velocidad.
El lado negativo que
encontramos es que es
muy fcil de detectar y de
filtrar, y generalmente el
host loguea que
establecemos una
conexin e
inmediatamente nos

desconectamos.
TCP SYN
Scanning:
TCP SYN scanning: esta
tcnica es la llamada
escaneo "half-open" (o
mitad-abierta), porque no
establecemos una
conexin TCP completa.
Lo que hacemos es
enviar un paquete SYN
como si furamos a
entablar una conexin
TCP completa y
esperamos por una
respuesta. Podemos
recibir un SYN|ACK si el
puerto esta escuchando o
un RST si el puerto esta
cerrado. Si recibimos un
SYN|ACK en respuesta,
inmediatamente le
enviamos un RST. La
mayor ventaja de esta
tcnica es que muy
pocos servers nos
loguean; y la desventaja
es que se necesita
privilegios de root para
construir estos paquetes
SYN a enviar.

TCP FIN
Scanning
(Escaneo
Oculto de
puertos)
algunos firewalls y
packets filters escuchan
por los paquetes SYN en
algunos puertos, y
programas como el
synlogger pueden
detectar este tipo de
escaneo. En cambio los
paquetes FIN pueden
penetrar sin mayor
problemas. La idea
consiste en que al enviar
un paquete FIN si el
puerto esta cerrado nos
va a devolver un RST, y
si el puerto esta abierto
nos va a ignorar. Esto se
debe a un error en las
implementaciones TCP
pero no funciona en un
100%. La mayora de los
sistemas parecen
susceptibles excepto los
sistemas Microsoft que
son inmunes..

TCP Null
Scanning
Null Scan
Enviamos segmentos TCP
sin ningn flag activado y
de nuevo el
comportamiento esperado
es el mismo. Ahora
realizamos la prueba con
el gateway (puerto 80
abierto y el 21 cerrado) y
una mquina corriendo

Debian GNU/Linux
(puerto 21 abierto y 80
cerrado) respectivamente:
1
2
3
4
5
6
# nping --tcp --
flags NONE --dest-
port 80,21 --count 1
192.168.1.254

Starting Nping ...
SENT (0.0033s) TCP
192.168.1.14:4505 >
192.168.1.254:21 ..
.
RCVD (0.0889s) TCP
192.168.1.254:21 >
192.168.1.14:4505 RA
...
SENT (1.0040s) TCP
192.168.1.14:4505 >
192.168.1.254:80 ..
.
Ahora con Debian
GNU/Linux:
1
2
3
4
5
6
# nping --tcp --
flags NONE --dest-
port 80,21 --count 1
192.168.1.10

Starting Nping ...
SENT (0.0049s) TCP
192.168.1.14:22467 >
192.168.1.10:21 ...
SENT (1.0051s) TCP
192.168.1.14:22467 >
192.168.1.10:80 ...
RCVD (1.0083s) TCP
192.168.1.10:80 >
192.168.1.14:22467
RA ...
A diferencia de Windows
XP, Debian GNU/Linux
s responde como debera
a este tipo de escaneos.
Para hacer un Null Scan
con Nmap se usa la
opcin -sN.

TCP ACK
Scanning
Mediante este procedimiento
puede determinarse si un
firewall es simplemente de filtro
de paquetes (manteniendo el
trfico de sesiones abiertas,
caracterizadas por el flag ACK)
o si mantiene el estado, con un
sistema de filtro de paquetes
avanzado.

TCP
Fragmentati
on Scanning
Fragmentation scanning:
esta no es una tecnica en si
misma, sino una
modificacion de otras
tecnicas. Consiste en hacer
una divicion de los
paquetes que enviamos,
para no ser detectados por
los packet filters y
los firewalls. Por ejemplo
podemos hacer un SYN o un
FIN scanning
fragmentando los paquetes
que enviamos, y al ir
quedando en cola en los
firewalls y en los packet
filters no somos detectados.

TCP
Windows
Scanning
En Nmap el Window Scan
es igual al TCP ACK Scan
pero analiza el campo
Window Size de los
segmentos TCP recibidos
para llegar a la
conclusin si el puerto
est abierto o cerrado, los
cuales son los nicos
reportes de este tipo de
escaneo. Algunos
sistemas responden con
un valor positivo para
puertos abiertos y con un
valor negativo o cero para

puertos cerrados.
1
2
3
4
5
6
7
8
9
1
0
1
1
1
2
1
3
1
4
1
5
1
6
1
7
1
8
1
9
2
0
2
nmap -Pn -n -sW -p
T:21,80,135 --
reason --max-
retries 0
192.168.1.21,10,254

Starting ...
Nmap scan report
for 192.168.1.21
Host is up,
received arp-
response (0.00045s
latency).
PORT STATE SERV
ICE REASON
21/tcp closed
ftp reset
80/tcp closed
http reset
135/tcp closed
msrpc reset
MAC Address: ...

Nmap scan report
for 192.168.1.10
Host is up,
received arp-
response (0.00040s
latency).
PORT STATE SERV
ICE REASON
21/tcp closed
ftp reset
80/tcp closed
http reset
135/tcp closed
msrpc reset
MAC Address: ...

1
2
2
2
3
2
4
2
5
2
6
Nmap scan report
for 192.168.1.254
Host is up,
received arp-
response (0.0054s
latency).
PORT STATE SERV
ICE REASON
21/tcp closed
ftp reset
80/tcp closed
http reset
135/tcp closed
msrpc reset
MAC Address: ...
En este caso todos los
puertos son reportados
como closed pero
sabemos que esto no es
cierto. Es debido que los
segmentos TCP RST
recibidos no tienen un
valor positivo para ser
reportados como open, en
mis pruebas y mediante
una captura con
Wireshark todos las
respuestas de los tres
sistemas sistemas fueron
de tamao 0.

TCP RCP
Scanning
El escaneo RPC tiene por
objetivo encontrar aplicac
iones RPC (Remote
Procedure Calls) a partir de
puertos encontrados po
r una tcnica de escaneo TCP
o
UDP, por ejemplo: SYN Scan.
Una vez que haya encont
rado la aplicacin este
17
protocolo es capaz de ejecutar
cdigo remotamente,
por lo cual implica un riesgo a
gran escala si esta tcnica
logra su objetivo


UDP ICMP
Port
Unreacheabl
e Scanning
UDP es un protocolo que no est orientado a conexin, a diferencia de
TCP. Los paquetes UDP
son enviados a un puerto, si este puerto no est abierto el sistema
responder con mensajes
ICMP port
unreachable
, al no recibir respuesta se asume que el puerto est abierto. Las
desventajas de este mtodo
es que en el caso de que el puerto est protegido o bloqueado por un
firewall
, ste aparecer como abierto y que es afectado por la tasa limitada de
ICMP
. Sin embargo, estas limitaciones se pueden
compensar con que algunos
scanners
ofrecen un mtodo hbrido de
scanning


OTAS
TCNICAS
ICMP
ICMP Echo (Ping sweep).
Mediante esta tcnica se pretenden identificar los equipos existentes en las redes objetivo de un ataque, tpicamente accesibles desde Internet.
Constituye uno de los pasos principales en la obtencin de informacin.
Empleando para ello los paquetes ICMP de tipo echo (8) y echo reply (0), se sabr si una determinada direccin IP est o no activa. Se enva un
paquete de tipo echo, y si se recibe el paquete de echo reply es que dicha direccin est siendo utilizada. La tcnica enva numerosos paquetes de
este estilo para conocer todos los equipos disponibles en una subred.
Existen numerosas herramientas que implementan este proceso, como por ejemplo, Fping, Gping, el propio Nmap, o la utilidad Pinger de Rhino9.
Para detectar este tipo de paquetes enviados de forma masiva puede analizarse el log del servidor DNS asociado al dominio escaneado, ya que
aparecern mltiples intentos de resolucin de nombres de direcciones IPs consecutivas. Asimismo, se podr obtener la direccin IP del atacante.
Los sistemas IDS tambin permiten su deteccin, tanto cuando se usa de forma secuencial, como cuando se lanzan los pings en paralelo.
ICMP Broadcast.
Cuando se enva un paquetes ICMP echo a la direccin de broadcast o a la direccin de red, con un nico paquete enviado se consigue que todos
los equipos respondan con su echo reply asociado.
Las implementaciones de los diferentes sistemas operativos se comportan de manera diferente. Esta tcnica puede emplearse en las variantes de
Unix, pero los SO de Microsoft, Windows, no responden a este tipo de paquetes. El RFC1122 especifica que este comportamiento mencionado en
ltimo lugar debera ser el correcto: if we send an ICMP echo request to an IP Broadcast or IP multicast addresses it may be silently discarded by a
host.
Existen tcnicas de escaneo ms avanzadas basadas en ICMP, pero NO en los paquetes de tipo echo. Podran considerarse tcnicas tanto de ICMP
Sweep como de ICMP Broadcast, pero con otros tipos de paquetes ICMP, no echo. Estos paquetes se van a a analizar a continuacin.
ICMP Timestamp.
Mediante el envo de un paquete ICMP de tipo timestamp, si un sistema est activo, se recibir un paquete de timestamp reply indicando que
implementa este tipo de transferencia de informacin que permite conocer la referencia de tiempo en el sistema destino. Tal y como denota el RFC
1122, la decisin de responder a estos paquetes depende de la implementacin. Algunos sistemas Windows s responden mientras que otros no, sin
embargo la mayora de los Unix s que lo implementan.
ICMP Information.
El propsito de los paquetes ICMP de informacin y su respuesta asociada, information reply, es permitir que ciertos equipos que no posean disco
del que extraer su propia configuracin, pudieran autoconfigurarse en el momento de su arranque, principalmente para obtener su direccin IP. En el
paquete, tanto la direccin origen como destino tienen el valor cero.
Tanto el RFC 1122 como el 1812 indican que los sistemas no deberan generar ni responder a este tipo de paquetes, pero la realidad de las
implementaciones existentes es otra. Algunos sistemas operativos respondern cuando la direccin IP destino del paquete tiene el valor de una
direccin IP especfica.
En la respuesta, en lugar de tener la direccin IP de la red en el campo de direccin origen, se tiene la direccin IP del host. Algunos UNIX
comerciales y equipos Cisco implementan la respuesta ante este tipo de paquetes.
ICMP Address Mask.
El propsito de los paquetes de tipo Address Mask y Address Mask Reply, era que los equipos o estaciones de trabajo sin disco pudiesen obtener la
mscara de red asociada a la subred en la que estaban conectados en el momento de arrancar.
Se supone que un sistema no debera responder con un paquete de este tipo salvo que fuera un agente autorizado para notificar la mscara,
tpicamente el router de la subred. Mediante esta informacin, un atacante puede conocer la estructura interna de la red y el esquema de
enrutamiento empleado.
Asimismo, permite identificar los routers existentes en el camino que une al atacante con la red objetivo. Un ejemplo de SO que ayuda mucho en
este aspecto es Sun Solaris y versiones personales de Windows. Es posible emplear tcnicas de deteccin de equipos ms avanzadas, no ya en
funcin del tipo de paquete ICMP, sino en base al comportamiento de las implementaciones del protocolo ICMP. Para ello se analizarn los
mensajes de error de ICMP, generados desde las mquinas que sirven como prueba, lo que nos permitir saber si existe algn dispositivo de filtrado
presente, as como descubrir la configuracin de las listas de acceso empleadas.
De manera general, los mtodos a emplear incluyen:
Modificacin maliciosa de la cabecera IP de un paquete, por ejemplo cambiando el campo de la longitud de la cabecera, o los campos de opciones
del protocolo IP.
Uso de valores invlidos en los campos de la cabecera IP.
Posibilidad de abusar de la fragmentacin.
Emplear el mtodo de escaneo basado en el protocolo UDP: es el protocolo ICMP el que se encarga de notificar las anomalas de ste.
IP Bad Headers Fields:
Fijando un valor incorrecto de los campos de la cabecera IP, se pretende obtener de la mquina objetivo un mensaje ICMP de error: ICMP
Parameter Problem. Este mensaje se obtiene cuando un router o sistema procesa un paquete y encuentra un problema con los parmetros de la
cabecera IP que no est contemplado en ningn otro mensaje de error ICMP. Es enviado slo si el paquete es descartado debido al error. Los
routers deberan generar este tipo de error, pero no todos ellos comprueban que ciertos campos de la cabecera IP son correctos.
Las comprobaciones varan en funcin del router, por lo que es posible segn su comportamiento identificar el fabricante del mismo. Por ejemplo,
tpicamente comprueban el checksum, y si no es correcto, descartan el paquete. Los sistemas implementan generalmente la verificacin de versin
IP, y si no es 4, descartan el paquete. Igualmente, comprueban el valor del checksum, para protegerse frente a errores producidos en el transporte
de los datos por la red. Un atacante emplear esta funcionalidad para escanear el rango de IPs completo asociado a una subred.
En el caso de que exista un firewall protegindola, mediante el envo de paquetes falsos a los puertos que supuestamente deberan estar abiertos,
como HTTP(80), FTP(21), DNS(53), Sendmail(25)..., se podr saber si hay algn equipo. Los sistemas IDS deberan avisar de este tipo de trfico
anormal.
En el caso de querer descubrir la configuracin de ACLs existente, deber escanearse todo el rango de IPs con todos los protocolos y puertos
posibles, de forma que se obtenga la visin ms detallada posible de la topologa y servicios de la red. Esto permitir saber las ACLs empleadas, al
poder visualizar que trfico pasa y cual no. Una red se puede proteger frente a este ataque si los firewalls o screening routers se encargan de
verificar y descartar este tipo de errores, no permitiendo este tipo de trfico. Asimismo, si el dispositivo de filtrado no implementa esta caracterstica,
es posible filtrar los paquetes ICMP Parameter Problem en su camino de vuelta. Existe una herramienta, ISIC: IP Stack Integrity Check, de Mike
Frantzen, disponible para este tipo de pruebas, que permite poner a prueba la pila TCP/IP, encontrar debilidades en un firewall, y comprobar la
implementacin de firewalls e IDS. Permite especificar si los paquetes se fragmentan, sus opciones IP, las opciones TCP y el bit URG.
IP Non-Valid Field Values.
Es posible modificar un paquete IP para que contenga valores no vlidos en algunos de sus campos. Cuando un equipo recibe un paquete de este
estilo modificado, generar un mensaje ICMP Destination Unreachable. Por ejemplo, es posible fijar un valor en el campo que especifica el protocolo,
que no represente un protocolo vlido.
Cuando el sistema objetivo reciba este paquete generar el error ICMP. Si no se recibe esta respuesta, podemos asumir que existe un dispositivo de
filtrado que no permite que el paquete llegue a su destino, salvo en algunos Unix, como AIX o HP-UX. Es posible, por tanto, realizar un escaneo
probando todos los valores de protocolo posibles, 256 (8 bits). Esta funcionalidad est implementada en la utilidad Nmap.
S se detectan muchos protocolos abiertos, indicar que existe un dispositivo de filtrado. Si el dispositivo filtra los mensajes de ICMP Protocol
Unreachable, entonces parecer que los 256 protocolos existen y estn disponibles. Existen dos opciones para protegerse frente a este ataque.
Por un lado, comprobar que el firewall bloquea los protocolos que no estn soportados, denegando todo por defecto salvo lo permitido. Por otro, el
firewall puede bloquear la salida de los paquetes ICMP Protocol Unreachable como respuesta al paquete falso.



------

1. Descarga e instala la siguiente herramienta:
NetScan Tools: http:www.nwpsw.com
2. Define las funciones de los programas:
Nmap: http://nmap.org/
Es capaz se utilizar diferentes tcnicas de evasin de deteccin como escaneo sealth. Soporta escaneos sobre ciertos puertos especficos, entre rangos IP
especficos, uso se paquetes Null, FIN, Xmas y ACK, adems SYN que es el paquete por defecto. Esto significa que se mandan cierto tipo de paquetes a cada puerto
y estos respondern con alguna seal que permitir a scanner encontrar versiones y servicios.
Descubrimiento de servidores: Identifica computadoras en una red, por ejemplo listando aquellas que responden ping.
1

Identifica puertos abiertos en una computadora objetivo.
Determina qu servicios est ejecutando la misma.
Determinar qu sistema operativo y versin utiliza dicha computadora, (esta tcnica es tambin conocida como fingerprinting).
Obtiene algunas caractersticas del hardware de red de la mquina objeto de la prueba.

SuperScan: http://www.mcafee.com/us/downloads/free-tools/superscan.aspx
Potente escner de puertos TCP , emisor de ultrasonidos , resolver.

SuperScan 4 es una actualizacin de la herramienta de escaneo de puertos de Windows muy popular, SuperScan .

Windows XP Service Pack 2 se ha eliminado sockets raw apoyo que ahora limita SuperScan y muchas otras herramientas de exploracin de red. Parte de la
funcionalidad puede ser restaurada mediante la ejecucin del siguiente en el smbolo del sistema de Windows antes de iniciar SuperScan :

net stop
Estas son algunas de las nuevas caractersticas de esta versin.

Velocidad de escaneo superior
Soporte para rangos de IP ilimitadas
Mejora de la deteccin de host que utiliza mltiples mtodos de ICMP
Escaneo TCP SYN
Escaneo UDP ( dos mtodos )
Rangos de direccin IP que apoyan la importacin y formatos CIDR
Simple generacin de informes HTML
Escaneo de puertos Fuente
Hostname Fast resolver
El acaparamiento de flags
Masiva lista de puertos Descripcin base de datos integrada
IP y el puerto de la aleatorizacin orden de exploracin
Una seleccin de herramientas tiles (ping , traceroute, whois , etc)
Capacidad de enumeracin host Windows Amplia

Tenga en cuenta que SuperScan 4 est diseado para Windows 2000 y XP solamente . Se requieren privilegios de administrador para ejecutar el programa. No se
ejecutar en Windows 95/98/ME . Es posible que tenga que probar v3 SuperScan si esto no funciona con su sistema.

Netcat: http://netcat.sourceforge.net/

Netcat es una utilidad de red aparece que lee y escribe datos a travs de conexiones de red , utilizando el protocolo TCP / IP.
Est diseado para ser una herramienta fiable "back -end" que se puede utilizar directamente o fcilmente conducida por otros programas y scripts. Al
mismo tiempo, es una red de depuracin rico en funciones y la herramienta de la exploracin , ya que puede crear casi cualquier tipo de conexin que
se necesita y cuenta con varias interesantes capacidades incorporadas .

Proporciona acceso a las siguientes caractersticas principales :

Las conexiones salientes y entrantes , TCP o UDP , hacia o desde cualquier puerto .
El modo de tnel destacado que permite tambin un tnel especial, como UDP a TCP , con la posibilidad de especificar todos los parmetros de red (
puerto de origen / de interfaz, puerto de escucha / interfaz, y el host remoto permitido para conectar con el tnel.
Capacidades integradas de escaneo de puertos , con distribucin al azar .
Opciones de uso avanzadas , tales como el modo de envo buffer (una lnea cada N segundos ) , y hexdump ( a stderr oa un archivo especfico) de
datos trasmitted y recibidos.
Cdigos telnet RFC854 opcionales analizador y el contestador .



3. Averigua cmo ver el cdigo html de una web en tu navegador
Mozilla FireFox:



Internet Explorer:




Google Chrome:



En todos los navegadores se puede ver parte de un elemento seleccionado con botn derecho>>inspeccionar elemento





1. Lee detenidamente el siguiente artculo:
http://www.elladodelmal.com/2010/07/metasploit-con-adobe-flash-player-un.html
Ahora se pueden aprovechar las caractersticas de meterpreter para por ejemplos hacer un volcado de las cuentas de usuario almacenadas en la maquina
local junto con sus hashes. Para ello se puede mover el control al proceso de Winlogon en Windows XP para volcarlas as que, primero, tal y como se
ve en la figura 12, con el comando ps se puede localizar el PID asociado al proceso winlogon.exe para saltar hacia l.


Figura 12: Listado de procesos con meterpreter

Con el comando migrate 952 se mueve el control de meterpreter al proceso de winlogon y, ejecutando el comando de dumpeado de hash se obtienen
los hashes de las cuentas.


Figura 13: Migracin al proceso de winlogon y volcado de hashes


http://unaaldia.hispasec.com/2013/10/apple-publica-os-x-mavericks-v109-de.html#comments


http://unaaldia.hispasec.com/2013/10/comprometen-el-sitio-oficial-de-php.html

2. Consulta la siguiente base de datos:
http://www.exploit-db.com/



http://nvd.nist.gov/home.cfm


3. Mira estas dos programas:

Los dos son para bloquear ventanas emergentes, banners, etc.
Adblock Plus
Bloquea banners, pop-ups y los anuncios de vdeo - incluso en Facebook y YouTube
Anuncios discretos no est bloqueando los comandos para los sitios web de soporte (configurable)


Adblock Pro

Con AdBlock, la mayora de los anuncios ni siquiera se descargan en absoluto. As que usted puede centrarse en disfrutar el contenido que desea, y pasar menos
tiempo esperando.
AdBlock requiere Chrome o Safari en el escritorio.

4.Ejemplo prctico de explotacin de vulnerabilidad:
http://www.hackplayers.com/2013/10/ejemplo-practico-de-como-comprometer-un.html


5. Conoce y documntate sobre las siguientes herramientas:
http://www.metasploit.com/
Software de pruebas de penetracin ms utilizado del mundo
Ponga las defensas de su red a la prueba

http://www.backtrack-linux.org/
BackTrack es un arsenal de pruebas de penetracin basada en Linux que ayuda a profesionales de la seguridad en la capacidad de realizar evaluaciones en un
entorno puramente indgena dedicada a la piratera. Sin importar si usted est haciendo BackTrack BackTrack que instalar, arrancar desde un Live DVD o pendrive,
la distribucin de la penetracin se ha personalizado hasta el ltimo paquete, la configuracin del ncleo, la escritura y el parche con el nico propsito de la
prueba de intrusin.

http://www.kali.org/
Kali Linux es una distribucin de Linux avanzada para pruebas de penetracin y auditoras de seguridad.
Kali es una completa re-construccin de BackTrack Linux desde la base hacia arriba, y se adhiere completamente a los estndares de desarrollo de
Debian. Toda la nueva infraestructura ha sido puesta en el lugar, todas las herramientas fueron revisadas y fueron embaladas, y hemos cambiado a Git
para nuestro VCS.
Kali Linux est orientado a pruebas de penetracin profesional y auditoras de seguridad. Como tal, varios cambios han sido implementados en Kali
Linux para que reflejen estas necesidades:
1. Un solo usuario, acceso root por diseo: Debido a la naturaleza de las auditoras de seguridad, Kali linux esta diseado para ser usado en un
escenario de un solo usuario, root.
2. Servicio de redes deshabilitado en forma predeterminada: Kali Linux contiene ganchos sysvinit los cuales deshabilitan los servicios de
redes por defecto. Estos ganchos nos permiten instalar various servicios en Kali Linux, mientras aseguran que nuestra distribucin permanesca
segura en forma predeterminada, no importando que paquetes esten instalados. Adicionalmente los servicios tales como Bluetooth son tambien
puestos en lista negra por defecto.
3. kernel de linux modificado: Kali Linux usa un kernel, parchado para la inyeccin wireless.


MDULO: SEGURIDAD EN EQUIPOS INFORMTICOS
TEMA 2. AMENAZAS A LA SEGURIDAD Y TIPOS DE ATAQUES INFORMTICOS
PARTE 3


1. Define que es una vulnerabilidad y sus tipos (afectan a equipos y afectan a programas y
aplicaciones). Pon un ejemplo de cada una de ellas)
Vulnerabilidades de un sistema informtico
En un sistema informtico lo que queremos proteger son sus activos, es decir, los recursos que
forman parte del sistema y que podemos agrupar en:
Hardware: elementos fsicos del sistema informtico, tales como procesadores, electrnica
y cableado de red, medios de almacenamiento (cabinas, discos, cintas, DVDs,...).
Software , tanto si es el propio
sistema operativo como las aplicaciones.
Datos: comprenden la informacin lgica que procesa el software haciendo uso del hardware. En
general sern informaciones estructuradas en bases de datos o paquetes de informacin que viajan
por la red.
Otros: fungibles, personas, infraestructuras,.. aquellos que se 'usan y gastan' como puede ser la
tinta y papel en las impresoras, los soportes tipo DVD o incluso cintas si las copias se hacen en ese
medio, etc.
De ellos los mas crticos son los datos, el hardware y el software. Es decir, los datos que estn
almacenados en el hardware y que son procesados por las aplicaciones software.

Incluso de todos ellos, el activo mas crtico son los datos. El resto se puede reponer con facilidad y
los datos ... sabemos que dependen de que la empresa tenga una buena poltica de copias de
seguridad y sea capaz de reponerlos en el estado mas prximo al momento en que se produjo la
prdida. Esto puede suponer para la empresa, por ejemplo, la dificultad o imposibilidad de reponer
dichos datos con lo que conllevara de prdida de tiempo y dinero.
Vulnerabilidad: definicin y clasificacin
Definimos Vulnerabilidad como debilidad de cualquier tipo que compromete la seguridad del
sistema informtico.
Las vulnerabilidades de los sistemas informticos las podemos agrupar en funcin de:
Diseo
Debilidad en el diseo de protocolos utilizados en las redes.
Polticas de seguridad deficientes e inexistentes.
Implementacin
Errores de programacin.
Existencia de puertas traseras en los sistemas informticos.
Descuido de los fabricantes.
Uso
Mala configuracin de los sistemas informticos.
Desconocimiento y falta de sensibilizacin de los usuarios y de los responsables de informtica.
Disponibilidad de herramientas que facilitan los ataques.
Limitacin gubernamental de tecnologas de seguridad.
Vulnerabilidad del da cero
Se incluyen en este grupo aquellas vulnerabilidades para las cuales no existe una solucin
conocida, pero se sabe como explotarla.
Vulnerabilidades conocidas
Vulnerabilidad de desbordamiento de buffer.
Si un programa no controla la cantidad de datos que se copian en buffer, puede llegar un
momento en que se sobrepase la capacidad del buffer y los bytes que sobran se almacenan
en zonas de memoria adyacentes.
En esta situacin se puede aprovechar para ejecutar cdigo que nos de privilegios de
administrador.
Vulnerabilidad de condicin de carrera (race condition).
Si varios procesos acceden al mismo tiempo a un recurso compartido puede producirse este
tipo de vulnerabilidad. Es el caso tpico de una variable, que cambia su estado y puede
obtener de esta forma un valor no esperado.
Vulnerabilidad de Cross Site Scripting (XSS).
Es una vulnerabilidad de las aplicaciones web, que permite inyectar cdigo VBSript o
JavaScript en pginas web vistas por el usuario. El phishing es una aplicacin de esta
vulnerabilidad. En el phishing la vctima cree que est accediendo a una URL (la ve en la
barra de direcciones), pero en realidad est accediendo a otro sitio diferente. Si el usuario
introduce sus credenciales en este sitio se las est enviando al atacante.
1. Vulnerabilidad de denegacin del servicio.
La denegacin de servicio hace que un servicio o recurso no est disponible para los
usuarios. Suele provocar la prdida de la conectividad de la red por el consumo del ancho de
banda de la red de la vctima o sobrecarga de los recursos informticos del sistema de la
vctima.
Vulnerabilidad de ventanas engaosas (Window Spoofing).
Las ventanas engaosas son las que dicen que eres el ganador de tal o cual cosa, lo cual es
mentira y lo nico que quieren es que el usuario de informacin. Hay otro tipo de ventanas
que si las sigues obtienen datos del ordenador para luego realizar un ataque.
En http://www.cert.org/stats/ hay disponibles unas tablas que indican el n de vulnerabilidades
detectadas por ao. Es interesante visitar la web de vez en cuando y comprobar el elevado nmero
de vulnerabilidades que se van detectando. Habra que ver cuntas no se detectan...

Una vulnerabilidad o fallo de seguridad, es todo aquello que provoca que nuestros sistemas
informticos funcionen de manera diferente para lo que estaban pensados, afectando a la
seguridad de los mismos, pudiendo llegar a provocar entre otras cosas la prdida y robo de
informacin sensible.
Para entenderlo mejor hagamos una analoga con el mundo real. Es fcil imaginar qu ocurrira si
dejramos abierta la puerta de nuestro domicilio o nuestro coche, y es que tendramos bastantes
posibilidades de que al menos nos sustrajeran nuestras pertenencias. El descuidar este detalle no
implica que seamos objeto de un hurto, pero si que nos encontramos predispuestos a que se
produzca. En este sentido la nica manera de protegernos sera cerrando la puerta. En el mundo de
las vulnerabilidades informticas el funcionamiento es muy similar; existe un agujero de
seguridad y mientras ste permanezca abierto estaremos predispuestos a sufrir un ataque que utilice
dicho agujero.

En un plano ms formal el trmino vulnerabilidad, se puede definir como la posibilidad de que
una amenaza se materialice sobre un activo. En este contexto debemos entender "activo" como
un recurso del sistema de informacin o relacionado con ste, necesario para que la organizacin
funcione correctamente y alcance los objetivos propuestos. Esto incluye tanto elementos fsicos
como abstractos: informacin, servicios, etc.Y una "amenaza" es definida como un evento que
pueden desencadenar un incidente en la organizacin, produciendo daos materiales o prdidas
inmateriales en sus activos. Por ejemplo la prdida de informacin, deterioro de hardware,
indisponibilidad de un servicio, etc.
Aunque esta seccin se centra en los fallos de seguridad basados en software asumiendo que son
los ms empleados para realizar intrusiones e infectar sistemas, tambin podemos encontrar otro
tipo de vulnerabilidades que se centran en el mbito fsico. En este sentido podemos pensar que
estamos completamente protegidos desde el punto de vista de ataques infomticos, virus, etc. pero
puede que no sirva de nada todo ese esfuerzo si por el contrario no se ha previsto cmo hacer frente
ante un posible incendio o permitimos el acceso no autorizado al CPD.
Para entender ms en profundidad. El proceso existente para proteger un sistema que adolece de
un fallo de seguridad viene determinado por el ciclo de vida de una vulnerabilidad. A travs de
ste ciclo se pueden conocer las diferentes fases y actores que entran en escena desde el inicio o
descubrimiento hasta la publicacin de la solucin.
En funcin del fallo de seguridad podemos encontrar distintos tipos de vulnerabilidades. stos se
distinguen en funcin del mecanismo que est comprometido y el mtodo que se emplea para
aprovechar la vulnerabilidad.
Para obtener informacin acerca de un determinado producto, software o fabricante, se puede
consultar nuestro buscador de vulnerabilidades. Adems la suscripcin a nuestro servicio de RSS, a
travs del cual mantendremos informado con las ltimas vulnerabilidades aparecidas.


2. Enva un email a criruhe@gmail.com, segn:
http://www.egarante.com/eg-doc/
3. Averigua cul es tu direccin IP pblica:
http://cual-es-mi-ip-publica.com/

Direccin IP privada Direccin IP pblica

192.168.2.1
46.25.204.187
4. Accede al enlace y geolocaliza tu IP (pblica). Busca otras 2 webs que te posicionen lo ms exacto
posible:
http://www.elhacker.net/geolocalizacion.html

static-187-204-25-46.ipcom.comunitel.net dice que estamos en Pontevedra.

http://www.adslayuda.com/geolocalizacion.html
Dice que en el Mar de Irlanda

http://www.geoiptool.com/es/

Estamos en Hoya Gonzalo
http://myip.es/
Tambien en Hoya Gonzalo

5. Visita lo siguientes enlaces e indica una breve descripcin de cada herramienta de auditora de sistemas:
Nessus: http://www.tenable.com/

enable Network Security est en una transicin en la tecnologa ciberntica que va a cambiar la forma en
las empresas a proteger sus redes. Tenable comenz la revolucin , cuando uno de sus co-fundadores
crearon el analizador Nessus vulnerabilidad , la primera solucin robusta para la deteccin de
vulnerabilidades que los virus y los hackers pueden explotar. La plataforma Tenable ha convertido en la
tecnologa de deteccin de la vulnerabilidad y la amenaza ms poderosa de hoy.

Fundadores defendibles Ron Gula , Renaud Deraison , y Jack Huffard construir tecnologa que asegura y
protege cualquier dispositivo de amenazas en Internet - el software malicioso, los hackers , los virus , y ms.
Tenable quiere que sus clientes y todas las empresas que tienen acceso a la ltima y mejor tecnologa que
asegurar que permanecen conectados , en lnea y en los negocios.
nuestra Tecnologa

Tenable SecurityCenter es la plataforma ciberntica de confianza en uso en todo el Departamento de
Defensa de EE.UU. (DoD ) y por muchas de las empresas Fortune 500 de . Estas instituciones confan
Tenable para alertarlos sobre las amenazas que podran hacer caer sus redes. Nessus , el corazn de la
plataforma de Tenable , cuenta con ms de un milln de usuarios - la proteccin de casi todas las
principales redes de la empresa en el mundo.

GFI LanGuard Network: http://www.gfi.com/

GFI Software proporciona soluciones potentes y econmicas para permitirle abordar fcilmente su
problemas diarios de TI.

Security Scanner: http://www.microsoft.com/security/scanner/es-es/
Microsoft Safety Scanner es una herramienta de seguridad que se descarga de forma gratuita y que
proporciona anlisis a peticin para ayudar a eliminar virus, spyware y otro software
malintencionado. Funciona con el software antivirus que ya posee.
Nota: Microsoft Safety Scanner expira 10 das despus de la descarga. Para volver a ejecutar un
anlisis con las ltimas definiciones contra malware, debe descargar y volver a ejecutar Microsoft
Safety Scanner.
Microsoft Safety Scanner no reemplaza el uso de programas de software antivirus que proporcionen
una proteccin continua.
Shadow Security: www.safety-lab.com/en/products/securityscanner.htm

Lab Safety Shadow Security Scanner es una evaluacin de la vulnerabilidad de escner de seguridad de red
proactiva ordenador con ms de 5.000 auditoras.
Esta es una nueva generacin de software de alta tecnologa (escner de evaluacin de vulnerabilidades de
red) que perforShadow Seguridad Scannermed enormemente en el siglo 20 y se mantiene en la primera
lnea en el nuevo milenio ! Shadow Security Scanner (escner evaluacin de la vulnerabilidad de la red) se
ha ganado el nombre de los ms rpidos - y de mejor rendimiento - escner de seguridad en su sector de
mercado , superando muchas marcas famosas . Shadow Security Scanner ha sido desarrollado para
proporcionar una deteccin segura , rpida y confiable de una amplia gama de los agujeros de seguridad
del sistema . Despus de completar el anlisis del sistema , Shadow Security Scanner analiza los datos
recogidos , localiza las vulnerabilidades y los posibles errores en las opciones de optimizacin del servidor, y
sugiere posibles vas de solucin del problema. Shadow Security Scanner emplea un algoritmo de anlisis
de seguridad nico sistema basado en un "ncleo intelectual " patentado . Shadow Security Scanner realiza
la exploracin del sistema a tal velocidad y con una precisin tal manera que sea capaz de competir con los
servicios de seguridad de TI y los hackers profesionales , tratando de entrar en su red.

E-eye Retina: http://www.amtsoft.com/retina/

Retina Network Security Scanner
Reconocido como el escner de seguridad ms rpido en el mercado hoy en da, Retina est diseado para
identificar las vulnerabilidades conocidas y desconocidas, sugerir correcciones para las vulnerabilidades
identificadas, y reportar posibles agujeros de seguridad en Internet de una red, intranet, extranet y
entornos. La tecnologa patentada de El producto eclipsa las capacidades de la ltima generacin de
escneres de seguridad y emplea un motor de inteligencia artificial nica que permite que el producto a
pensar como un hacker o un analista de seguridad de la red intentar penetrar en su red.

Retina es un escner de best-of-breed el apoyo de poderosas caractersticas que son atractivas para el
administrador de la red y el consultor de seguridad por igual. eEye ha comprometido a hacer que el escner
de retina ms rica en caractersticas en el mercado y solicita activamente e incorpora la retroalimentacin
del cliente y de las solicitudes.

1. Visita las siguientes webs:
http://www.hackersforcharity.org/ghdb/

Base de datos de Google Hacking (GHDB)!
Los llamamos 'googledorks': ineptos o insensatos segn lo revelado por Google. Como se llame a estos
tontos, que ha encontrado el centro del Universo hacking Google!

http://www.securityfocus.com/

Desde su creacin en 1999 , SecurityFocus ha sido un pilar en la comunidad de seguridad . Desde el
contenido original de noticias a detalle los documentos tcnicos y columnistas invitados , hemos
luchado por ser la fuente de la comunidad para que todos las cosas relacionadas con la seguridad .
SecurityFocus se form con la idea de que la comunidad necesitaba un lugar para reunirse y
compartir su sabidura y el conocimiento recogido . En SecurityFocus , la comunidad ha sido
siempre nuestro principal objetivo . La pgina web SecurityFocus ahora se centra en unas pocas
reas clave que son de mayor importancia para la comunidad de seguridad .

BugTraq es un alto volumen , lista de correo divulgacin completa para el anlisis detallado y el
anuncio de las vulnerabilidades de seguridad informtica. BugTraq sirve como la piedra angular de
la comunidad de seguridad en toda la Internet.
La vulnerabilidad de base de datos SecurityFocus proporciona profesionales de la seguridad con
la informacin ms actualizada sobre las vulnerabilidades para todas las plataformas y servicios.
Listas de correo SecurityFocus permiten a los miembros de la comunidad de seguridad de todo el
mundo para discutir todo tipo de problemas de seguridad. En este momento hay 31 listas de correo ;
la mayora son moderados para mantener discusiones sobre - tema y para eliminar el spam .

http://cve.mitre.org/cve/
Base de datos Nacional de Vulnerabilidad

Funcionalidad de base de datos completa para la Lista CVE se proporciona a travs de la asociacin de
MITRE con los EE.UU. Nacional de Vulnerabilidad Database (NVD).

CVE Buscar en NVD
Informacin Fix CVE
CVE SCAP Asignaciones

Lista CVE copia maestra

La copia maestra de la lista CVE se mantiene para la comunidad por MITRE en este sitio Web pblico de
CVE.

Bsqueda copia maestra del CVE
La lista de descargas CVE
Ver la Lista de CVE

http://secunia.com/advisories
Comprometidos con la eliminacin de las amenazas de vulnerabilidad
Al proporcionar una seguridad ptima para los clientes empresariales y usuarios domsticos en todo el
mundo

Secunia es reconocido en toda la industria como un pionero y actor global en el ecosistema de la seguridad
de TI , en el nicho de gestin de vulnerabilidades . Nuestra galardonada cartera equipa a los clientes
corporativos y privados en todo el mundo con la Inteligencia de la vulnerabilidad , evaluacin de la
vulnerabilidad , y las herramientas de gestin de parches automatizados para gestionar y controlar las
vulnerabilidades a travs de sus redes y puntos finales.

Una fuerte visin estratgica de convertirse en nmero uno es, y siempre ha sido, uno de los pilares de
Secunia . Por lo tanto, ofrecemos soluciones mejores en su clase que tienen menos superficial de envoltura
para regalo en lugar contenemos verdadero valor. Todos los productos de gestin de la vulnerabilidad de la
cartera de Secunia proporcionan proteccin endpoint probada contra las vulnerabilidades , debido a
nuestra combinacin especial de escaneado nica aplicacin , experiencia sin igual y un servicio al cliente
impecable . Todo esto se logra mediante la dedicacin de la Secunia Research Team prestigio en el sector y
reforzada por Secunia de las funciones de apoyo de ventas y enfocados .

Un historial de excelencia hace Secunia un proveedor preferido para las empresas , tales como Fortune 500
y Global 2000 empresas y agencias gubernamentales de todo el mundo .

2. Busca informacin acerca de:
Red TOR: https://www.torproject.org/

Tor fue originalmente diseado , implementado y desplegado como un proyecto de enrutamiento cebolla
de tercera generacin del Laboratorio de Investigacin Naval de EE.UU. . Originalmente fue desarrollado
con la Marina de EE.UU. en mente, con el propsito principal de proteger las comunicaciones
gubernamentales . Hoy en da , se utiliza todos los das para una amplia variedad de propsitos de la gente
normal , los militares, los periodistas, los funcionarios encargados de hacer cumplir la ley , activistas y
muchos otros.

Tor es una red de tneles virtuales que permite a las personas y grupos mejorar su privacidad y seguridad
en Internet. Tambin permite a los desarrolladores de software para crear nuevas herramientas de
comunicacin con caractersticas de privacidad incorporadas. Tor proporciona la base para una serie de
aplicaciones que permiten a las organizaciones ya los individuos compartir informacin sobre redes
pblicas sin comprometer su privacidad.

Los individuos usan Tor para evitar que los sitios web de seguimiento de ellos y de sus miembros de la
familia , o para conectarse a nuevos sitios, servicios de mensajera instantnea o similares cuando estos son
bloqueados por sus proveedores locales de Internet . Servicios ocultos de Tor permiten a los usuarios
publicar sitios web y otros servicios sin necesidad de revelar la ubicacin del sitio . Los individuos tambin
usan Tor para la comunicacin sensible socialmente : salas y foros web de supervivientes de violaciones y
abusos o gente con enfermedades de chat.

Freenet: https://freenetproject.org/?language=es
Freenet es software libre el cual te permite compartir archivos annimamente, navegar y publicar
"freesites" (sitios web accesible solamente mediante Freenet) y discutir en foros, sin temor de
censura. Freenet es descentralizada para hacerla menos vulnerable a ataques, y si es usada en modo
"darknet", dnde los usuarios conectan solamente con sus, es muy difcil de detectar.
Las comunicaciones por los nodos Freenet estn cifradas y son dirigidas a travs de otros nodos
para hacer extremadamente difcil de determinar quin est solicitando la informacin y cual es su
contenido.


I2P: http://www.i2p2.de/index_es.html
I2P es una red de capa annima - una red dentro de una red. Est pensada para proteger la
comunicacin del seguimiento de las redes de vigilancia y la monitorizacin por terceras partes
como los ISPs (proveedores de Internet).
I2P es usado por muchas personas que se preocupan por su privacidad: activistas, poblaciones
oprimidas, periodistas, denunciantes, as como por el ciudadano medio.
Ninguna red puede ser "perfectamente annima". El objetivo continuado de I2P es hacer los
ataques ms y ms difciles de montar. Su annimato se volver ms fuerte al crecer el tamao de la
red, y con la revisin acadmica que est en marcha.
I2P est disponible para escritorios, sistemas embebidos (como el Rapsberry Pi) y telfonos
Android.

GNUnet: GNUnet es un marco para la seguridad de redes peer-to-peer que no utiliza ningn servicio
centralizados o de confianza de otro modo. Nuestro objetivo de alto nivel es proporcionar una slida base
de software libre para una red mundial que proporciona seguridad y, en particular, los aspectos de
privacidad.

GNUnet comenz con una idea para el intercambio de archivos annimos resistente a la censura, pero ha
crecido hasta incorporar otras aplicaciones, as como muchos en los componentes genricos para
aplicaciones de redes seguras. En particular, GNUnet ahora incluye el sistema de nombres de GNU, una
infraestructura de clave pblica descentralizada privacidad de preservacin.

3. Indica como configurar tu navegador con la opcin: Navegacin privada
Firefox


Explorer




Chrome



4. Familiarzate con la configuracin de un router:
Trendnet: http://www.trendnet.com/emulators/


Linksys: http://ui.linksys.com/files/


Netgear: http://www.voiproblem.com/emulators/Netgear/



PRCTICA

1. Visita una web
www.villalgordodeljucar.com

2. Descrgate una imagen de dicha web
http://www.villalgordodeljucar.com/images/iglesiayplaza/P8290010.jpg

3. Analiza la foto mediante la web:

http://www.informatica64.com/foca/


http://regex.info/exif.cgi
Here's the full data:
APP14
DCT Encode Version 100
APP14 Flags 0 [14], Encoded with Blend=1 downsampling
APP14 Flags 1 (none)
Color Transform YCbCr
Ducky
Quality 50%
JFIF
JFIF Version 1.02
Resolution 100 pixels/None
File basic information derived from the file.
File Type JPEG
MIME Type image/jpeg
Encoding Process Baseline DCT, Huffman coding
Bits Per Sample 8
Color Components 3
File Size 72 kB
Image Size 600 802
Y Cb Cr Sub Sampling YCbCr4:2:0 (2 2)

http://www.findexif.com/?l=cow#results

Exif data
This photo does NOT contain EXIF metadata

http://www.verexif.com/


4. Programa para eliminar metadatos:
BatchPurifier LITE: http://www.digitalconfidence.com/downloads.html
http://www.verexif.com/ los elimina en linea

5. Casos curiosos de metadatos:
http://www.elladodelmal.com/2012/04/analisis-forense-de-metadatos-15.html
Ejemplo 1: Word bytes Tony Blair in the butt:

Tony Blair present un documento y afirm que no lo haban editado. La informacin de los metadatos
demostr como personal de su equipo lo haba copiado, editado, etctera.

- Word Bytes Tony Blair in the butt

Ejemplo 2: El programa electoral del PP

Se public en PDF. El anlisis de los metadatos mostraba un ttulo del que se haba copiado el documento y
que los datos de la persona que haba publicado el documento. Un becario de las FAES.

- El programa electoral del PP para salir de la crisis lo publica un becario

Ejemplo 3: La ministra de la SGAE

Desde Security By Default analizaron los documentos de la sociedad DAMA, donde trabajaba la ministra
Sinde. En los documentos se pudo leer que el propietario de las licencias era la SGAE, lo que dejaba a las
claras la relacin entre Dama y SGAE.

- La ministra de la SGAE

Ejemplo 4: La piratera de software en una empresa

Analizando los metadatos de los documentos se pueden sacar versiones de software utilizadas
internamente. Si la compaa no tiene esas licencias puede ser un escndalo. Yo revis con FOCA el
software de la SGAE.

- Cunto pagar la SGAE por su Software?

Ejemplo 5: El pliego de condiciones del ayuntamiento de Legans

Un pliego de condiciones de un concurso fue adjudicado a una empresa. Cuando se analizaron los
metadatos del documento que recoga las condiciones del concurso se pudo comprobar que el creador del
mismo perteneca a la empresa que gan el concurso.

- Pillados: El pliego de condiciones lo redacta la empresa adjudicataria


MDULO: SEGURIDAD EN EQUIPOS INFORMTICOS
TEMA 2. AMENAZAS A LA SEGURIDAD Y TIPOS DE ATAQUES INFORMTICOS
PARTE 4


1. Descarga e instala:
SMAC: http://www.klcconsulting.net/smac/



ETHERCHANGE: http://ntsecurity.nu/toolbox/etherchange/


2. Informacin acerca de:
APTs (Advanced Persistent Threats): http://www.redseguridad.com/opinion/articulos/por-que-tienen-
exito-los-advanced-persistent-threat-apt

Por qu tienen xito los 'Advanced Persistent
Threat' (APT)?
Sin duda, los ltimos aos 2010 y 2011 han supuesto un duro despertar en materia de seguridad para
muchas compaas y gobiernos de todo el mundo, que no han sabido valorar la informacin de su negocio y
protegerla adecuadamente.
Se habla mucho de los Advanced Persistent Threat (APT) en referencia a individuos o grupos con la
capacidad, persistencia y efectividad para comprometer la seguridad de los sistemas informticos de
cualquier organizacin que se propongan.
En algunos casos, estos APT pueden ser representativos de Estados-Naciones con el objetivo de
robar informacin o sabotear infraestructuras crticas de otras naciones amigas o enemigas.
Lo cierto es que los ataques informticos, ya sean provocados por individuos, grupos de hackers u
operativos de Estados-Naciones, se han sucedido desde dcadas, pero ha sido ms recientemente
cuando se ha comenzado a hablar de los APT como una verdadera amenaza para empresas o
instituciones, como se puede apreciar en los medios, donde prcticamente cada semana se puede
leer alguna noticia de una organizacin comprometida.
Funcionamiento de los APT
Entendemos los APT, con independencia de su sofisticacin, como atacantes que buscan
permanencia en los sistemas comprometidos con el claro objetivo de sustraer informacin de
manera continua, por lo que segn esta definicin no todos los ataques que suceden hoy en da son
APT.
A lo largo de este artculo estudiaremos detalladamente esta tipologa y cmo actan, adems de las
malas prcticas empleadas por las organizaciones, que se convierten en presas fciles.
Los APT son diferentes de los clsicos atacantes a los que la mayora de organizaciones estn
acostumbradas. Los tiempos de los script-kiddies y la bsqueda de notoriedad de los jvenes han
pasado a la historia, y ahora hablamos de "sector ofensivo profesional".
Un aspecto importante es que aunque los llamemos avanzados, -advanced-, no significa que
utilicen los ltimos exploits o herramientas hacker de ltima generacin, sino que hace referencia a
que son ms avanzados por su sofisticacin y profesionalizacin.
Por desgracia, en muchas ocasiones, los APT siguen utilizando tcnicas de los aos 80 y 90, pero
con mayor eficiencia y sabiendo combinar ataques con xito.
Las acciones avanzadas disponen de amplios recursos (humanos, tecnolgicos, econmicos y,
adems, tiempo) para llegar a buen puerto. Es ampliamente conocido que muchos Estados-Naciones
invierten cientos de millones de euros en programas ofensivos, convirtindolo en todo un lucrativo
negocio, en el marco de un escenario estratgico cada vez ms organizado.
Ejemplos de ataques APT
En la ltima dcada se han identificado multitud de ataques avanzados contra importantes
organizaciones y parece que esta tendencia se est agravando. En el grfico se pueden ver algunos
ejemplos reales de ataques considerados APT en los ltimos tres aos. Posiblemente a usted le
resultarn familiares muchos de ellos.

Desde la Operacin Aurora hasta el ataque al Fondo Monetario Internacional, pasando por Stuxnet. La
sofisticacin y perfeccionamiento de los ataques no tiene lmites.
En un amplio nmero de ocasiones, estos ataques fueron realizados mediante tcnicas sobradamente
conocidas, como ingeniera social, USB infectados y correos maliciosos.
Para ms detalle se aconseja leer el documento Advanced Persistent Threats: A Decade in
Review, por Command Five.
Desde el grupo de Seguridad de Microsoft (InfoSec) hemos ayudado a varios clientes a luchar
contra APT, en los que hemos podido analizar y comprender los mtodos empleados, que varan
desde el uso de conocidos troyanos hasta usos ms creativos de la infraestructura como la
subversin de servicios Windows o la distribucin de malware a travs de actualizaciones.
Toda esta recoleccin y anlisis de informacin sobre la materia que nos ocupa es de vital
importancia para Microsoft, ya que aporta inteligencia sobre sus mtodos, permitiendo mejorar la
seguridad de nuestros productos y servicios, adems de ayudar al cliente, proporcionndole
mecanismos de proteccin efectivos. Igualmente, esta informacin se puede consultar gratuitamente
en el "Microsoft Security Intelligence Report (SIR)".
A continuacin, enumeramos algunos ejemplos de los mtodos empleados por los APT que hemos
podido analizar en InfoSec, siendo algunos de estos ataques de una sofisticacin muy elevada:
Instalacin de servicios que detectan todos los ficheros, carpetas y correos nuevos y son enviados
al atacante.
Compromiso de la PKI y certificados.
Subversin de los mecanismos de actualizacin.
Espionaje mediante la activacin de micrfonos y webcams en los sistemas comprometidos.
No debemos caer en la falsa sensacin de que esto slo pasa en entornos Windows porque no es as.
Cualquier plataforma es susceptible de ser atacada por APT, como ya estn apreciando otros
grandes fabricantes de software.
En el ltimo ao, los smartphones han ganado popularidad como vctimas de ataques avanzados,
tras el desarrollo de sofisticados troyanos, aprovechando otro vector de entrada en las
organizaciones.
1. Inicio
2. Instituciones
3. Administracin
4. La UE y EEUU realizan el primer simulacro de ciberseguridad
Valoracin
Actualmente 0 de 5 Estrellas.
Tu valoracin
Actualmente 0 de 5 Estrellas.
1
2
3
4
5
Haz tu comentario
Imprimir
NOTICIA ENISA auspici el ejercicio en Bruselas el 3 de noviembre
La UE y EEUU realizan el primer simulacro
de ciberseguridad
01/11/2011 - Redaccin
Noviembre es el mes de la seguridad por excelencia y este ao ms que nunca, ya que se ha puesto en boga
la importancia estratgica del ciberespacio, desde distintos pases. No en balde se llev a cabo Cyber
Atlantic 2011, se celebr la LondonCyber y se conmemor el Da Internacional de la Seguridad Informtica
(DISI).
Bruselas acogi el pasado 3 de noviembre el primer ejercicio de ciberseguridad realizado
conjuntamente entre la Unin Europea (UE) y Estados Unidos (EEUU).
La Agencia Europea de Seguridad de la Informacin y Redes (ENISA) ha hecho posible Cyber
Atlantic 2011, donde se trabaj con hipotticos escenarios que pusieron a prueba a la capacidad de
cooperacin entre un lado y otro del Atlntico en caso de ciberataque o amenaza a infraestructuras
crticas.

El primer ensayo planteaba ataque dirigido Advanced Persistent Threat (APT) contra la informacin
confidencial en poder de las agencias de seguridad de los pases miembros.
El segundo simulacro se centr en la interrupcin de sistemas SCADA en infraestructuras
industriales. Ms de 20 pases miembros participaron en los ejercicios, como actividad contemplada
en Cyber Atlantic, parte del compromiso suscrito por el pas norteamericano y la UE el 20 de
noviembre de 2010 en Lisboa.
LondonCyber
Tambin a principios de noviembre -los das 1 y 2- se celebr en la capital londinense la
LondonCyber, en la que se habl de la importancia estratgica del ciberespacio para el desarrollo
econmico, social y poltico de las sociedades actuales.
Mandatarios de ms de 60 naciones junto a representantes de la industria y organizaciones de
control y gestin del ciberespacio trataron asuntos como el crecimiento y desarrollo econmico, los
beneficios sociales de Internet, la seguridad internacional, el cibercrimen y la necesidad de ciber-
accesos seguros y confiables.
Reino Unido, pas anfitrin, propuso los siguientes siete principios bsicos para fomentar la
colaboracin entre estados, industria y organismos de control y gestin del ciberespacio:
1. Aplicacin de la legislacin internacional vigente relacionada con el manejo del ciberespacio.
2. Universalizacin del acceso a Internet.
3. Tolerancia y respeto por parte de todos los cibernautas.
4. Fomentar la innovacin, salvaguardando la libertad de expresin y la comparticin e intercambio
de informacin.
5. Respeto a los derechos individuales y a la privacidad y proteccin de la propiedad intelectual.
6. Colaboracin internacional contra el cibercrimen.
7. Creacin de un entorno que fomente la competitividad en Internet.
LondonCyber cont con ponentes de primer nivel que transmitieron, cada uno en su mbito, las
posturas oficiales de gobiernos, las inquietudes de la industria y la necesidad de una regulacin
responsable sobre el manejo del ciberespacio.
Adems, se puso de manifiesto, aun ms si cabe, la concepcin bipolar en el manejo del
ciberespacio. Por un lado, la mayora de los pases, encabezados por Estados Unidos y Reino
Unido, defienden la convergencia hacia un ciberespacio basado en los siete pilares arriba
enunciados; mientras que por otro lado, una minora, liderada por China, defiende el derecho al
control gubernamental del ciberespacio y, por tanto, limitar muchos de los principios propuestos por
Reino Unido.
De LondonCyber no han salido grandes acuerdos globales pero ha cumplido, con creces, sus
objetivos, al ser el primer gran foro global que tiene al ciberespacio y su seguridad como
protagonista.
Si bien, algunos actores del sector en nuestro pas han echado en falta la presencia de profesionales
espaoles en este simposio. Afortunadamente, parece que esta cita tendr continuidad, de manera
itinerante, con la Conferencia sobre Ciberespacio de Hungra en 2012 y la de Corea del Sur en
2013, en las que esperamos que Espaa y sus profesionales empiecen a lucir.
WHONIX: https://www.whonix.org/wiki/Main_Page

Es un Sistema operativo annimo


3. Visita los siguientes enlaces:
http://www.reiniciado.com/20-sitios-recomendados-para-navegar-anonimamente/720/



http://www.seculert.com/



4. Prueba el siguiente programa:
Ultrasurf: http://ultrasurf.us/

UltraSurf es un producto de UltraReach Internet Corporation. Originalmente creado para ayudar a los
usuarios de Internet en China encontrar la seguridad y la libertad en lnea, Ultrasurf se ha convertido en
uno de los anti-censura ms popular del mundo, el software pro-vida privada, con millones de personas
que lo utilizan para eludir la censura en Internet y proteger su privacidad en lnea.

Hide My IP: http://www.hide-my-ip.com/?l=es




5. Configura manualmente el proxy de tu navegador mediante las siguientes listas:
http://www.proxys.com.ar/
http://www.proxy4free.com/list/webproxy_rating1.html


1. Visita el siguiente enlace:
http://www.seguridaddelmal.com/2013/06/detectando-ataques-man-in-middle-mitm.html
2. Lee el siguiente artculo:
http://seguridadyredes.wordpress.com/2009/11/27/detectando-sniffers-en-nuestra-red-redes-
conmutadas-y-no-conmutadas-actualizacion/
3. Busca informacin acerca de las herramientas:
Arpwatch: http://manpages.ubuntu.com/manpages/precise/man8/arpwatch.8.html
WinARP Watch: http://www.windowsreference.com/free-utilities/arp-skwinarp-watch-arpwatch-for-
vistaxp20032000/

MDULO: SEGURIDAD EN EQUIPOS INFORMTICOS
TEMA 2. AMENAZAS A LA SEGURIDAD Y TIPOS DE ATAQUES INFORMTICOS
PARTE 5


1. Visita el siguiente enlace:
http://public-root.com/root-server-check/index.htm



https://maps.google.com/maps/ms?ie=UTF8&hl=en&msa=0&msid=103993808347197645891.00043a30
b2657ea61ea33&ll=11.424429,26.178063&spn=142.883537,288.632813&z=2&om=1



http://www.antiphishing.com.ar/



http://www.osi.es/es/actualidad/avisos/2013/10/detectados-correos-fraudulentos-que-suplantan-la-
identidad-de-apple?origen=boletin



2. Descarga e instala la siguiente herramienta:
Advanced IP Scanner: http://www.advanced-ip-scanner.com/es/



3. Enva un email a tu cuenta:
http://anonymouse.org/cgi-bin/anon-email.cgi



4. Enlaces de inters:
https://www.gdt.guardiacivil.es/webgdt/home_alerta.php



http://www.policia.es/org_central/judicial/udef/bit_alertas.html



1. Lee los siguientes artculos:
http://blog.trendmicro.es/cibercrimen-en-la-deep-web/#more-2393


http://www.gitsinformatica.com/botnet.html



http://www.dnssec.net/

2. Mira el siguiente enlace:
http://www.digitalattackmap.com


https://www.virustotal.com/es/


3. Infrmate de las siguientes herramientas:
RUBotted: http://www.trendmicro.es/productos/herramientas-y-servicios-gratuitos/index.html

BotHunter: http://www.bothunter.net/
Qu es BotHunter

BotHunter NO es un sistema de deteccin de intrusos, firewall, bloqueador de spam , o de la herramienta
antivirus. Estas herramientas generalmente no funcionan para ayudar a librar su red de las infecciones de
malware . Ms bien, BotHunter tiene un enfoque diferente . Es todo un nuevo algoritmo de defensa de la
red diseado para ayudar a todos, desde los administradores de red a usuarios individuales conectados a
Internet PC detectan si sus sistemas estn funcionando coordinacin centrada malware ( tales como redes
de bots , spam , spyware, exfiltrators Troya, gusanos, adware ) . Se basa en un algoritmo llamado
correlacin de dilogo red , desarrollado bajo el programa de investigacin de Cyber -TA (
http://www.cyber-ta.org ) , por el Laboratorio de Ciencias de la Computacin en el SRI International.

BotHunter monitorea los flujos de comunicacin de doble va entre hosts dentro de la red interna e
Internet. Es agresiva clasifica intercambios de datos que se crucen en tu lmite de la red como posibles
pasos de dilogo en el ciclo de vida de una infeccin de malware en curso. BotHunter emplea Snort como
un motor de generacin de eventos de dilogo , y Snort est muy modificada y personalizada para llevar a
cabo este proceso de clasificacin de dilogo. Eventos de dilogo se alimentan directamente a un motor de
correlacin de dilogo independiente , donde los mapas BotHunter los patrones de produccin de dilogo
de cada host en contra de un modelo de ciclo de vida de una infeccin de malware abstracto. Cuando se
adquiere suficiente evidencia para declarar un husped infectado , BotHunter produce un perfil de la
infeccin de resumir toda la evidencia que se ha reunido con respecto a la infeccin. En resumen,
BotHunter le ayuda a identificar rpidamente los equipos infectados dentro de la red que son claramente y
sin poder hacer nada bajo el control de los hackers externos.

Correlacin de dilogo es un algoritmo que clasifica cada intercambio de trfico de red que se produce en
toda la frontera de la red como posibles pasos de secuencia de infeccin que ocurren cuando un host est
infectado con malware. No todos los eventos de trfico de red genera un evento de dilogo. Eventos de
dilogo se introducen directamente en un motor de correlacin de dilogo independiente , donde se
asignan patrn de produccin de dilogo individual de cada husped y anot en contra de un modelo de
ciclo de vida de una infeccin de malware abstracto. Cuando el algoritmo de correlacin de dilogo
determina que los patrones de produccin de dilogo de un anfitrin mapas suficientemente cerca del
modo de ciclo de vida , el anfitrin se declara infectados , y un perfil de la infeccin se genera para resumir
todas las pruebas con respecto a la infeccin.

BotHunter es financiado a travs de la Cyber- Amenaza beca de investigacin Analtica de la Oficina de
Investigacin del Ejrcito de EE.UU. , y es gratis para todos los usuarios finales para ayudarle a combatir las
infecciones de malware . Adems , BotHunter incluye un servicio de actualizacin automtica que permite a
los sistemas desplegadas para recibir la ltima inteligencia de amenazas en relacin con nuevas fuentes
para los puertos de anuncios y de gestin spyware , sitios de control de botnet , puerta trasera y de control,
y las bsquedas de nombres de dominio relacionados con el malware . El servicio de actualizacin tambin
publica nuevas reglas de anlisis de dilogo para ayudar BotHunter reconoce exploits emergentes y los
patrones de comunicacin de malware. Defensas de malware modernos deben ser adaptables y tanto de
las ltimas estrategias utilizadas por el malware de Internet y BotHunter est listo para afrontar este reto .

4. Descarga e instala las siguientes herramientas:
Cain & Abel: http://www.oxid.it/cain.html


Whireshark: http://www.wireshark.org/


5. Video sobre el uso del programa Cain & Abel:
http://www.youtube.com/watch?v=VrinUjptVYY



PRCTICA: Manual Cain & Abel
http://www.youtube.com/watch?v=9mkPVaYnGcI
1) Desactivar antivirus y firewall
2) Ejecutar Cain & Abel: Sniffer y Configure
3) Ejecutar cmd: ipconfig
4) Cain & Abel: Pestaa: ARP (aadir dir. puerta de enlace)
5) Pulsar icono: Sniffer y ARP
6) Icono Add List -> All test
7) 192.168.1.100
8) Resolve Host Name
9) Pestaa: APR \ Add List (IP analizar: 192.168.1.100 y IP route: 192.168.4.1)
10) Icono ARP
11) Pestaa Password

MDULO: SEGURIDAD EN EQUIPOS INFORMTICOS
TEMA 2. AMENAZAS A LA SEGURIDAD Y TIPOS DE ATAQUES INFORMTICOS
ACTIVIDADES PARTE 6

1. Busca informacin relaciona con el siguiente nombre:
Qhosts/Delude

QHosts/Delude, el troyano secuestrador
Un nuevo troyano que infecta automticamente un ordenador con slo
visualizar una pgina HTML con Microsoft Internet Explorer o Microsoft
Outlook. Si bien no es especialmente peligroso, existen un par de
consideraciones que lo hacen merecedor de su propio boletn: se
instala incluso si se ha aplicado el parche ms reciente de Internet
Explorer y modifica la configuracin de TCP/IP en el ordenador
infectado.

QHosts/Delude es un troyano que tiene la capacidad de instalarse
automticamente con slo visualizar una pgina HTML con Internet
Explorer o bien un mensaje en formato HTML con Microsoft Outlook.

Esas pginas o mensajes HTML contienen un cdigo VBScript (x.hta) que
contiene el troyano y se ejecuta con solo visualizar la pgina o
mensaje. Esto sucede incluso si se est al da de las actualizaciones
de seguridad, lo que incluye el ltimo boletn acumulativo de
Microsoft publicado a finales de agosto.

Cuando consigue introducirse en un ordenador, este troyano realiza una
serie de cambios en la configuracin del protocolo TCP/IP. Modifica
las direcciones de los servidores de DNS y crea un nuevo archivo HOSTS
para, de esta forma, poder redireccionar de forma transparente
determinadas peticiones de acceso a servicios de Internet como pueden
ser buscadores o directorios.

El troyano es fcilmente identificable debido a la serie de
modificaciones que realiza en el sistema infectado, que afectan al
acceso a determinadas pginas de Internet especialmente populares como
Google o Altavista.

Cuando se abre una pgina o mensaje HTML que contiene el cdigo del
troyano, ste procede a descargar archivo AOLFIX.EXE en el directorio
temporal (%TEMP%) o en el directorio de sistema (%SYSTEM%). A
continuacin lo ejecuta realizando estas operaciones:

1. Crea un directorio oculto c:\Bdtmp\Tmp
2. Dentro de este directorio, se genera un archivo batch, cuyo nombre
es un nombre aleatorio entre el 100 y el 9999. A continuacin lo
ejecuta y lo borra.

Este archivo batch, por su parte, realiza estas acciones:

1. Crea los archivos %WinDir%\o.reg, %WinDir%\o2.reg y %WinDir%\o.vbs
2. Ejecuta los dos archivos .REG para aplicar una serie de
modificaciones en el registro:

En HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\VxD\MS TCP
aade los siguientes valores:

* "EnableDNS"="1"
* "NameServer"=[Direccin IP indicada en el archivo batch]
* "Hostname"="host"
* "Domain"="mydomain.com"

De esta forma se modifica la direccin del servidor de DNS configurado
en el ordenador infectado para que, en su lugar, se utilice un
servidor de nombres bajo el control del creador del troyano.

En HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Internet Settings
modifica la configuracin de Internet Explorer para que no
utilice ningn servidor intermedio (Proxy):

* "ProxyEnable"="0"
* "MigrateProxy"="0"

A continuacin configura el buscador por defecto de Internet Explorer
para que se utilice Google (que posteriormente ser tambin
redireccionado)

* HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Main
* "User Search Asst"="no"
* Search Page"="http://www.google.com"
* "Search Bar"="http://www.google.com/ie"

* HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\SearchURL
* ""="http://www.google.com/keyword/%%s"
* "provider"="gog1"

* HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Search
* "SearchAssistant"="http://www.google.com/ie"

Por ltimo, aade el valor

"r0x"="your s0x"

en las siguientes claves del registro

* HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Tcpip\Parameters\interfaces\windows
* HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Tcpip\Parameters\interfaces\windows

3. Crea un nuevo archivo HOSTS en %WinDir%\Help que contiene una
relacin de nombres de dominio populares, apuntando a una direccin IP
fija. Para que el sistema utilice este archivo HOSTS, modifica
nuevamente el registro:

* HKEY_LOCAL_MACHINA\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters
* "DataBasePath"="%SystemRoot%\Help"

4. Crea un archivo indicador de que el troyano se encuentra en el
sistema: %WinDir%\winlog

Una vez infectado, cualquier intento de acceder a determinadas
direcciones de Internet sern automticamente redireccionadas hacia
una pgina con publicidad muy especifica.

Prevencin

La forma ms eficiente de prevenir este troyano en concreto consiste
en aplicar la versin ms reciente del archivo de firmas del antivirus
presente en el ordenador. Afortunadamente se trata de un troyano
fcilmente identificable por los antivirus, por lo que no debera
ocasionar grandes problemas. De hecho, su grado de distribucin puede
considerarse casi testimonial.

No obstante, para prevenir otros troyanos que utilicen la misma
tcnica deberemos esperar a que Microsoft publique un nuevo parche
para Internet Explorer que impida la ejecucin automtica de scripts
VBScript con solo visualizar una pgina o un mensaje HTML. Este
parche, hoy por hoy, todava no existe.

PremiumSearch:

Ests en: Panda Security > Usuarios Domsticos > Security Info > about-malware > encyclopedia > detalle



Enciclopedia de Virus
Bienvenido a la Enciclopedia de Virus del Laboratorio de Panda Security.
PremiumSearch

Peligrosidad Dao Propagacin
De un vistazoDetalles tcnicos | Solucin

Nombre
comn:
PremiumSearch
Nombre
Adware/PremiumSearch
tcnico:
Peligrosidad: Baja
Tipo: Spyware
SubTipo: Adware
Efectos:
Presenta resultados interesados a los usuarios que intentan acceder a determinados
buscadores web, y cambia la pgina de inicio de Internet Explorer. Llega al
ordenador cuando se visitan pginas web que explotan vulnerabilidades para afectar
ordenadores que no han sido parcheados.
Plataformas
que infecta:
Windows 2003/XP/2000/NT/ME/98/95
Fecha de
deteccin:
22/04/2005
Deteccin
actualizada:
04/10/2005
Estadsticas No
Proteccin
proactiva:
S, mediante las Tecnologas TruPrevent
Descripcin Breve

PremiumSearch es un programa de tipo adware que redirige las aplicaciones que intentan acceder a
una serie de buscadores web, como por ejemplo Google, Yahoo y MSN, entre otros, hacia la
direccin IP 69.31.81.22, presentando resultados elegidos por el autor de este adware.
Tambin descarga desde el servidor localizado en http://ovxeas.biz una barra de herramientas que
imita la de Google, siendo muy similar a ella.
Adems, cambia la pgina de inicio de Internet Explorer, empleando para ello un BHO (Browser
Helper Object).
PremiumSearch llega al ordenador cuando se visitan pginas web que explotan vulnerabilidades
para afectar ordenadores que no han sido convenientemente parcheados.
Sntomas Visibles

PremiumSearch es fcil de reconocer una vez ha afectado el ordenador, ya que cambia la pgina de
inicio de Internet Explorer por la siguiente:


DNSChanger:

DNSChanger
DNSChanger es un virus que modifica la configuracin DNS del equipo infectado. En el siguiente
artculo se explica cmo detectarlo y reparar los cambios que realiza en el ordenador.
Como comprobar manualmente si DNSChanger ha infectado el ordenador
Para comprobar si su ordenador est infectado por el virus DNSChanger puede hacerlo a travs de
la web www.dns-changer.eu o comprobando manualmente si los servidores DNS configurados en
su PC son maliciosos.
Para verificarlo manualmente, en primer lugar, debe obtener las direcciones IP de los servidores
DNS que utiliza su PC. A continuacin, debe comprobar que ninguna de estas direcciones IP de los
servidores DNS est comprendida en alguno de los siguientes rangos que corresponden a
direcciones IP de servidores DNS maliciosos que configura DNSChanger en el ordenador infectado:
85.255.112.0 - 85.255.127.255
67.210.0.0 - 67.210.15.255
93.188.160.0 - 93.188.167.255
77.67.83.0 - 77.67.83.255
213.109.64.0 - 213.109.79.255
64.28.176.0 - 64.28.191.255
Aunque no estn comprendidas en estos rangos, si sospecha que pueden pertenecer a servidores
DNS maliciosos o que no pertenecen a su proveedor de Internet, puede realizar una consulta whois
para obtener ms informacin sobre estas direcciones IP o consultar la web listado de servidores
DNS de AdslAyuda para verificar que se corresponden con las de su ISP.
Los servidores maliciosos estn controlados por el FBI e ISC por lo que devuelven las direcciones
IP genuinas. Por otra parte, esto posibilita comprobar a travs de la web www.dns-changer.eu si se
tiene configurado un DNS malicioso.
Como eliminar DNSChanger y rehacer la configuracin de red
Para restaurar su ordenador debe realizar las siguientes 4 tareas:
Eliminar el virus.
Deshacer los cambios en la configuracin DNS.
Revisar el archivo hosts.
Revisar la configuracin DNS del router.
Eliminar el virus
Utilice un antivirus actualizado para eliminar DNSChanger. Puede encontrar antivirus gratuitos en
la seccin de "tiles Gratuitos". En el caso particular de sistemas Mac, se puede utilizar la
herramienta DNSChanger Removal Tool para eliminar el virus (adems de para restaurar la
configuracin DNS).
Deshacer los cambios en la configuracin DNS
Aunque haya eliminado el virus, el antivirus no puede deshacer los cambios en la configuracin
DNS realizados por DNSChanger.
Puede deshacer los cambios en la configuracin DNS utilizando herramientas automticas,
existentes para Windows y para Mac OS, o manualmente.
Para hacerlo manualmente debe acceder a la configuracin DNS de su ordenador y sustituir las
direcciones de los servidores DNS maliciosos por las que proporciona su ISP. Las direcciones de
los servidores DNS de su ISP se pueden obtener:
llamando al telfono de soporte del ISP
consultando el listado de servidores DNS de AdslAyuda
Revisar el archivo hosts
Se han detectado variantes de DNSChager que modifican el archivo hosts del ordenador, por lo que
debe comprobar que no existen entradas maliciosas en l.
Revisar la configuracin DNS del router
Por ltimo, es recomendable revisar la configuracin DNS del router, ya que el virus tambin ha
podido modificarla para servir mediante DHCP las direcciones IP de servidores DNS maliciosos.

PenWes:

zonavirus / noticias / nueva variante de malware penwes que cambia los dns a 127.0.0.1, muy poco
detectado actualmente (solo 1 de 48)
NUEVA VARIANTE DE MALWARE PENWES que cambia los DNS a 127.0.0.1,
muy poco detectado actualmente (solo 1 de 48)
msc hotline sat
viernes, 10 de enero de 2014

Otra muestra de este malware que, salvo que el ordenador LOCAL HOST sea un servidor de DNS, impide
navegar al cambiar la configuracion de los DNS a 127.0.0.1

A partir del ElistarA 29.12 pasamos a controlar dicho malware, indicando adems del cambio de los DNS si
se observa lo antes indicado.

El usuario deber reconfigurar la configuracion del servidor de DNS que tuviera antes programado, si no
puede navegar.


El preanalisis de virustotal ofreec este informe:

SHA256: 1f94a960c059d3e489e6b5dbc0606249c16f81ae554911670b38e7280cb422ea
Nombre: PENWESSERVICE.EXE.Muestra EliStartPage v29.09
Detecciones: 1 / 48
Fecha de anlisis: 2014-01-10 12:07:30 UTC ( hace 0 minutos )

0 1

Antivirus Resultado Actualizacin
Malwarebytes PUP.Optional.PenWes.A 20140110

2. Lee el siguiente artculo:
http://geekland.hol.es/elegir-el-mejor-servidor-dns/


3. Comprueba la velocidad de los servidores dns pblicos:
Namebench: http://code.google.com/p/namebench/


4. Indica cuales seran los pasos a seguir en tu sistema operativo para cambiar las direcciones del servicio
del servidor dns










1. Busca informacin relaciona con:
InterNIC:
InterNIC
InterNIC, la abreviatura de Internet Network Information Center, fue el principal organismo
gubernamental de internet responsable de los nombres de dominio y las Direcciones IP, las
asignaciones fueron hasta el 18 de septiembre de 1998, cuando este papel fue asumido por la
Internet Corporation for Assigned Names and Numbers (ICANN), Se accede a travs del sitio web
http://internic.net/ que fue gestionado por Network Solutions, Inc y AT&T.
Termino
"InterNIC" es un servicio registrado marca de el Departamento de Commercio. Este termino es
licenciado a la Internet Corporation for Assigned Names and Numbers (ICANN).
Historia
La primera autoridad central a coordinacion de operacion de la red fue el Network Information
Center (NIC) en Stanford Research Institute (SRI) en Menlo Park, California). En 1972, la gestin
de estas cuestiones se dio a la recin creada Internet Assigned Numbers Authority (IANA). Adems
de su papel como el RFC Editor, Jon Postel trabaj como el administrador de la IANA hasta su
muerte en 1998.
Como los primeros ARPANet creci, los hosts fueron referidos por sus nombres, y un archivo
llamado HOSTS.TXT fue distribuido por el SRI Internacional, y fue instalado manualmente en cada
servidor de la red. A medida que la red creci, se convirti cada vez ms engorroso, Una solucin
tcnica se produjo en la forma del sistema de nombres de dominio, creado por Paul Mockapetris, la
DDN-NIC, en todos los SRI manejan los servicios de registro, incluido el de los dominios de nivel
superior (.mil, .gov, .edu, .org, .net, .com y .us, as como la raz administrativa de nombres de
Internet y nmero de tareas en virtud de el Departamento de Defensa de contrato de los Estados
Unidos. En 1991 la DISA, adjudic la administracin y mantenimiento de DDN-NIC, que haba
sido hasta ese momento bajo la direccin del SRI desde hace muchos aos, al Gobierno Systems,
Inc., que subcontrat a la empresa Network Solutions, Inc.
ICANN
Qu es ICANN?
ICANN es una organizacin que opera a nivel multinacional/internacional y es la responsable de
asignar las direcciones del protocolo IP, de los identificadores de protocolo, de las funciones de
gestin del sistema de dominio y de la administracin del sistema de servidores raz.
En un principio, estos servicios los realizaba IANA (Internet Assigned Numbers Authority) y otras
entidades del gobierno estadounidense.
ICANN se dedica a preservar la estabilidad de Internet por medio de procesos basados en el
consenso.
El papel de ICANN
ICANN coordina la administracin de los elementos tcnicos del DNS para garantizar la resolucin
unvoca de los nombres, para que los usuarios puedan encontrar todas las direcciones sin ser
repetidas.
El funcionamiento de ICANN
En la actualidad, la ICANN est formalmente organizada como una corporacin sin fines de lucro y
de utilidad pblica. Est administrada por una Junta de Directores, que est compuesta por seis
representantes de las organizaciones de apoyo, sub-grupos que se ocupan de las secciones
especficas de las polticas de ICANN en virtud de la competencia, ocho representantes
independientes del inters pblico general, seleccionados a travs de un Comit de Nominaciones
que representa a todas las circunscripciones de la ICANN, y el Presidente y Director Ejecutivo,
nombrado por el resto de la Junta.
En la actualidad hay tres organizaciones de apoyo: la GNSO (Generic Names Supporting
Organization) se ocupa de la formulacin de polticas sobre dominios genricos de nivel superior,
ccNSO (Country Code Names Supporting Organization) se ocupa de la elaboracin de polticas
relativas a cdigos de pases en dominios de nivel superior, la ASO (Address Supporting
Organization) se ocupa de la formulacin de polticas en direcciones IP.
ICANN tambin se basa en algunos comits consultivos para recibir asesoramiento sobre los
intereses y necesidades de los interesados que no participen directamente en las organizaciones de
apoyo. Entre ellos figuran el Comit Asesor Gubernamental (GAC), que est integrado por
representantes de un gran nmero de gobiernos nacionales de todo el mundo; el ALAC (At-Large
Advisory Comit), que est integrado por representantes de organizaciones de los distintos usuarios
de Internet de todo el mundo; el sistema DNS y TLG (Technical Liaison Group) compuesto por
representantes de otras organizaciones tcnicas internacionales de Internet.
Procedimientos
ICANN peridicamente sostiene reuniones pblicas de rotacin entre los continentes para fomentar
la participacin mundial en sus procesos. Los crticos argumentan que los lugares de estas reuniones
se encuentran a menudo en los pases con menor uso de Internet. Lo que se quiere dar a conocer es
que ICANN tiene mandato en todo el mundo y una parte esencial de su misin es fomentar el uso
de Internet donde es dbil.
Se cre en California debido a la iniciativa de Jon Postel, uno de sus fundadores. ICANN sigue en
el mismo edificio donde se cre, que es una oficina del Instituto de Ciencias de la Informacin en la
Universidad del Sur de California.
Las resoluciones de la junta de ICANN se publican en su pgina web para que las pueda consultar
todo el mundo.
Poltica Uniforme
Una de las tareas que se le pidi que realizara es abordar la cuestin del nombre de dominio
propiedad del gTLD. ICANN intent que esa poltica fuera elaborada en estrecha cooperacin con
la Organizacin Mundial de la Propiedad Intelectual (OMPI), y el resultado ha pasado a ser
conocido como la Poltica de Resolucin de Disputas de Nombres de Dominio Uniformes (UDRP).
Esta poltica esencialmente intenta proporcionar un mecanismo de respuesta rpida, econmica y
razonable de resolucin de conflictos de nombres de dominio.
Historia
El mandato original de la ICANN provino del Gobierno de los Estados Unidos durante el gobierno
de Bill Clinton y George W. Bush. El 30 de enero de 1998, el Consejo Nacional de
Telecomunicaciones y Administracin de Informacin (NTIA), una agencia del Departamento de
Comercio de los EE.UU., coment que era necesaria "una propuesta para mejorar la gestin tcnica
de Internet los nombres y las direcciones". La propuesta de elaboracin de normas, o "Libro
Verde".
2

Se public en el Registro Federal el 20 de febrero de 1998, y ofreca oportunidades para
comentarios del pblico. NTIA ha recibido ms de 650 observaciones desde el 23 de marzo de
1998, cuando se cerr el periodo de comentarios.
2

El Libro Verde propone ciertas acciones destinadas a privatizar la gestin de Internet, los nombres y
las direcciones de una manera que permita el desarrollo de slidas competencias y facilite la
participacin global en la gestin de Internet. Adems, propone para la discusin una serie de
cuestiones relacionadas con la gestin de DNS, incluido el sector privado. ICANN se cre en
respuesta a esta poltica.
En septiembre y octubre de 2003, la ICANN desempe un papel crucial en el conflicto en torno a
VeriSign's "wild card", un servicio de DNS. Despus de una carta abierta de la ICANN, un
ultimtum a VeriSign
3

4
, la empresa voluntariamente termin el servicio el 4 de octubre de 2003.
Tras este paso, VeriSign present una demanda contra ICANN el 27 de febrero de 2004, alegando
que ICANN haba sobrepasado su autoridad, buscando a travs de la demanda para reducir la
ambigedad sobre la autoridad de ICANN. La lucha contra los monopolios VeriSign componente
de la reclamacin fue desestimada en agosto de 2004.
El 17 de mayo de 2004, ICANN public un proyecto de presupuesto para el ao 2004-05. Incluye
propuestas para aumentar la transparencia y el profesionalismo de sus operaciones, y aumenta en
gran medida su propuesta de gasto. El Consejo Europeo Nacional de dominio de nivel superior
Registros (CENTR), que representa los registros de Internet de 39 pases, rechaz el aumento,
acusando a ICANN de una falta de prudencia financiera. A pesar de las crticas, se lleg a un
acuerdo de registro para los dominios de nivel superior .JOBS y .TRAVEL que incluye una tasa de
2 dlares por cada dominio de las empresas autorizadas.
Junto con el xito de las negociaciones .TRAVEL y .JOBS, los nombres de dominio .MOBI, y
.CAT son algunos de los nuevos dominios de nivel superior establecidos por ICANN.
El 10 de mayo de 2006 la ICANN no aprob un plan para un nuevo ".XXX" sufijo que han sido
designados para los sitios web con contenido pornogrfico. ICANN rechaz formalmente .XXX el
30 de marzo de 2007 durante su reunin en Lisboa, Portugal, aunque posteriormente, el 25 de junio
de 2010, decidieron dar va libre al sufijo que finalmente ver la luz a principios de 2011.
El 26 de julio de 2006, el Gobierno de los Estados Unidos renov el contrato con la ICANN para la
ejecucin de la IANA por un perodo adicional de cinco aos.
5

Logros
ICANN estableci la competencia en el mercado para los registros de nombres de dominio
genricos de primer nivel quitando el monopolio. Implement la Poltica de Resolucin de Disputas
de Nombres de Dominio Uniformes (UDRP). Ha adoptado normas generales para nombres de
dominios internacionalizados (IDN), lo que ha permitido el registro de dominios en muchos
idiomas, cada zona tiene sus registros permitidos.
Alternativas
Se han sugerido alternativas a ICANN para la gestin de nombres DNS y el espacio de direcciones,
entre ellas:
Dejar que el Gobierno de los EE. UU. realice las tareas de la ICANN directamente.
Asignacin de tareas del ICANN a la Unin Internacional de Telecomunicaciones.
Dejar al Registro Regional de Internet gestionar las direcciones.
El abandono de todo control y dejar que los nombres DNS sean gratuitos para todos.
La creacin de una nueva organizacin sin fines de lucro sin ningn vnculo con la actual, como por
ejemplo OpenNIC.
Prximos retos
Implementar nombres de dominio internacionalizados y nuevos dominios de nivel superior
genricos.
Aumentar la seguridad y estabilidad de los identificadores nicos de Internet.
Supervisar el agotamiento del espacio de direcciones IPv4 y liderar el cambio hacia la adopcin del
IPv6.
Mantener y mejorar la confianza en el mercado de dominios de nivel superior genricos.
Luchar por la excelencia en las operaciones clave.
Fortalecer el modelo de mltiples partes interesadas de ICANN para atender la creciente demanda
y las necesidades cambiantes.
Reforzar la responsabilidad y el gobierno.
Garantizar la estabilidad financiera y la responsabilidad.

http://www.espanix.net/


http://www.catnix.net/es/


http://www.rediris.es/
Sobre RedIRIS
RedIRIS es la red acadmica y de investigacin espaola y proporciona servicios avanzados de
comunicaciones a la comunidad cientfica y universitaria nacional. Est financiada por el Ministerio
de Economa y Competitividad, e incluida en su mapa de Instalaciones Cientfico-Tcnicas
Singulares (ICTS). Se hace cargo de su gestin la entidad pblica empresarial Red.es, del
Ministerio de Industria, Energa y Turismo.
RedIRIS cuenta con ms de 450 instituciones afiliadas, principalmente universidades y centros
pblicos de investigacin, que llegan a formar parte de esta comunidad mediante la firma de un
acuerdo de afiliacin.
2. Visita las siguiente webs de entidades registradoras de nombres de dominio:
http://www.red.es/redes/inicio

Red.es es una entidad pblica que trabaja para que la sociedad espaola aproveche al mximo el potencial
de Internet y las nuevas tecnologas. Nuestro objetivo es fomentar el empleo, apoyando a las empresas que
aspiran a estar en la vanguardia digital y creando programas de formacin y asesora para pymes y
emprendedores. Tambin impulsamos el ahorro y la eficiencia en el sector pblico, mediante la
implantacin de Tecnologas de la Informacin y la Comunicacin (TIC).

http://www.dominios.es/dominios/es/agentes-registradores/todos-los-agentes-registradores



3. Herramientas para descargar:
NetInfo: http://netinfo.tsarfin.com/download.html


BobUp Scanner: http://www.bopup.com/products/scanner/


Plax Network Suite: http://www.bestsecuritytips.com/content+index.id+18.htm


4. Componente para instalar en tu navegador y ver el cdigo de la web:
Wappalyzer: http://wappalyzer.com/



1. Diferencias entre:
SPAM vs SMTP spoofing
Se llama spam, correo basura o mensaje basura a los mensajes no solicitados, no deseados o de
remitente no conocido (correo annimo), habitualmente de tipo publicitario, generalmente enviados
en grandes cantidades (incluso masivas) que perjudican de alguna o varias maneras al receptor. La
accin de enviar dichos mensajes se denomina spamming. La palabra spam proviene de la segunda
guerra mundial, cuando los familiares de los soldados en guerra les enviaban comida enlatada; entre
estas comidas enlatadas estaba una carne enlatada llamada spam, que en los Estados Unidos era y
sigue siendo muy comn.
1

2

Aunque se puede hacer spam por distintas vas, la ms utilizada entre el pblico en general es la
basada en el correo electrnico. Otras tecnologas de Internet que han sido objeto de correo basura
incluyen grupos de noticias, usenet, motores de bsqueda, redes sociales, pginas web, wiki, foros,
blogs, a travs de ventanas emergentes y todo tipo de imgenes y textos en la web.
El correo basura tambin puede tener como objetivo los telfonos mviles (a travs de mensajes de
texto) y los sistemas de mensajera instantnea como por ejemplo Outlook, Lotus Notes, Windows
live ,etc.
Tambin se llama correo no deseado a los virus sueltos en la red y pginas filtradas (casino, sorteos,
premios, viajes, drogas, software y pornografa), se activa mediante el ingreso a pginas de
comunidades o grupos o acceder a enlaces en diversas pginas o inclusive sin antes acceder a
ningn tipo de pginas de publicidad.

SMTP spoofing
Suplantacin en correo electrnico de la direccin de correo electrnico de otras personas o entidades.
Esta tcnica es usada con asiduidad para el envo de mensajes de correo electrnico hoax como
suplemento perfecto para el uso de suplantacin de identidad y para SPAM, es tan sencilla como el uso de
un servidor SMTP configurado para tal fin. Para protegerse se debera comprobar la IP del remitente (para
averiguar si realmente esa ip pertenece a la entidad que indica en el mensaje) y la direccin del servidor
SMTP utilizado.

SMTP vs IMAP


Existen tres estndares que utilizan actualmente la mayora de servicios de correo electrnico
(email). Estos son el SMTP, el POP3 y el IMAP. El estndar SMTP son las siglas de Simple Mail
Transfer Protocol (Protocolo Simple de Transferencia de Correo). POP es el acrnimo de Post
Office Protocol (Protocolo de Oficina Postal). Aunque pueda sonar algo confuso, POP es el
protocolo de almacenamiento de email mientras que SMTP es el protocolo de envo y recepcin.
POP3 es la tercera versin desarrollada del estndar POP. IMAP (Internet Message Access
Protocol) es otro protocolo de almacenamiento ms moderno que POP3 y con ms posibilidades.
Si hacemos una analoga con el correo postal, el protocolo SMTP sera el anlogo al cartero o a los
servicios de transporte de cartas. El o ella entrega y recoge el correo para transferirlo a otra
localizacin. El protocolo POP3 y el protocolo IMAP seran como el buzn de correos de tu casa o
un apartado postal. Es el sitio dnde el correo es enviado y dnde permanece hasta que el receptor
est listo para leerlo. El correo saliente tambin puede ser puesto en el buzn de correo, es decir, los
protocolos POP3 e IMAP tambin se utilizan para almacenar el correo enviado.
SMTP: el transporte de emails
La inmensa mayora de emails que viajan por internet lo hacen utilizando el estndar SMTP, un
protocolo de transferencia. Aunque fue inventado a principios de la dcada de 1980, se considera
un protocolo muy fiable, principal motivo por el que sigue siendo el ms utilizado de forma casi
universal. La mayora de correos electrnicos enviados utilizando SMTP llegan rpido al receptor
sin problemas.
No obstante, SMTP presenta algunos inconvenientes ante eventos que no se tuvieron en cuenta
cundo se invent, principalmente por ser problemas que no existan entonces y que no fueron
anticipados. Por ejemplo, el protocolo SMTP no tiene forma de verificar si el remitente de un
email es realmente quien dice ser. Si volvemos la vista a los aos 1980, cundo internet era
utilizado por un selecto grupo de personas, principalmente en organismos gubernamentales y
centros de docencia e investigacin, esto no era un gran problema.
A partir de los aos 1990 la incapacidad de verificacin del remitente comenz a ser un problema
importante y lo que ha permitido el continuo incremento del SPAM y otros usos malintencionados
del email, como la transferencia de virus o el email spoofing (suplantacin de identidad). Por
ejemplo, un programa puede buscar en el buzn de email y enviar un virus como archivo adjunto a
toda la lista de contactos de una persona en nombre de esa persona en la que los receptores confan.
Se han realizado avances para mejorar la seguridad del estndar SMTP pero est an muy lejos de
ser verdaderamente seguro.
POP3 e IMAP: el almacenamiento y organizacin
El estndar POP es el protocolo utilizado para el almacenamiento y organizacin de los correos
electrnicos. Se dise en 1984 con la idea de permitir a los usuarios tener acceso a un servidor de
correo, recibir los mensajes y almacenarlos en una carpeta local del ordenador propio y poder
desconectarse de internet para leer y escribir mensajes. La capacidad de estar offline para leer o
escribir era realmente til cundo permanecer conectado a internet era caro y se pagaba por minutos
de conexin. Actualmente la mayora de servidores de correo utilizan POP3, la tercera versin del
estndar POP que fue desarrollada en 1988, o el estndar IMAP.
El protocolo IMAP es ms moderno y ofrece ms posibilidades que POP3. Por ejemplo, permite
administrar varias bandejas de entrada, varios accesos a la vez o mltiples criterios de organizacin.
IMAP vs POP3
POP: Post Office Protocol (Protocolo de oficina de correos) es un protocolo de comunicacin que
se utiliza para obtener desde un programa de escritorio (Thunderbird, Outlook, Windows Mail,
etc.) los mensajes de correo electrnico almacenados en un servidor remoto
IMAP: Internet Message Access Protocol (Protocolo de acceso a mensajes de internet), esto es,
igualmente, un protocolo de comunicacin que se utiliza para acceder a los mensajes electrnicos
alojadas en un servidor remoto.

Qu diferencias, ventajas e inconvenientes ofrece uno sobre el otro?
El protocolo IMAP, de forma predeterminada, permite al usuario conservar todos los mensajes en
el servidor. Constantemente se sincroniza el programa de correo electrnico con el servidor,
mostrando los mensajes que estn presentes en la carpeta en cuestin. Todas las acciones
realizadas en los mensajes (leer, mover, eliminar) se realizan directamente en el servidor.
El protocolo POP, por defecto, est configurado para descargar todos los mensajes del servidor
de correo electrnico al ordenador desde el que se conecta. Esto significa que todas las acciones
realizadas en los mensajes (leer, mover, borrar) se realizarn en el propio ordenador. Al
descargarse, por defecto, se eliminan los mensajes del servidor y, por ello, el usuario no podr
volver a ver los mensajes desde cualquier lugar que no sea el equipo en el que los mensajes han sido
descargados.
En ambos casos, como ves, se habla de configuracin por defecto (o predeterminada), por lo que
deja ver que es una configuracin que se puede cambiar. As, con el protocolo IMAP se pueden
descargar mensajes y conservarlos nicamente en nuestro PC (al menos con Thunderbird y
Outlook -no s si otros clientes disponen de esta opcin-, si se archiva el mensaje en una carpeta
local en vez de archivarlos en una carpeta dependiente de tu cuenta IMAP) y el protocolo POP se
puede configurar para que deje una copia de los mensajes en el servidor y que se borren una
vez pasado un determinado periodo de tiempo (o que no se borren nunca).
Correo POP3
La ventaja principal que tiene este protocolo es que carpetas, mensajes, etc. se guardan en nuestro
ordenador, con lo que nos permite leer el correo recibido sin estar conectado a la red.
Adems, al leer los mensajes y bajarlos a nuestro ordenador, liberamos espacio en nuestro buzn
del Host, con lo cual tenemos menos probabilidades que por descuido se nos llene el buzn y no
podamos recibir ms mensajes. Es el ms extendido (prcticamente todos los programas de correo
lo soportan) y es el ideal para conectarse siempre desde un mismo ordenador.
Correo Imap
La principal diferencia que encontramos respecto al anterior protocolo es que tanto los mensajes
como las carpetas se guardan en el Host. Esto, que puede parecer un inconveniente, es muy til para
conectarse desde ordenadores compartidos, ya que los mensajes no pueden ser ledos por terceras
personas, al no quedarse en el PC.
Adems, si no tenemos la posibilidad de conectarnos siempre del mismo ordenador, conseguimos
siempre acceder a la totalidad de nuestros mensajes. Hay que tener la precaucin de ir borrndolos
de vez en cuando para no sobrepasar el lmite de capacidad de nuestro buzn. En cuanto al soporte
de este protocolo, aunque son pocos los programas de correo que lo soportan por ahora, tenemos la
suerte que los dos navegadores ms extendidos (Firefox e Internet Explorer - Con Outlook Express
u Outlook 2000 -) s que pueden trabajar con l.
Por ejemplo un uso muy til para el correo Imap es el de buzones compartidos. Cuando ms de
una persona tiene que acceder a ese buzn, es bueno tener este mtodo disponible ya que se
quedarn marcados los que se han ledo y los que no.
Aunque con programas como Outlook 2000 o superiores, podemos usar la opcin de "dejar una
copia en el servidor", y nos hara un efecto parecido.

2. Visita el siguiente enlace:
http://www.segu-info.com.ar/malware/hoax.htm



http://www.hoaxbusters.org/


http://tecnologia.uncomo.com/articulo/como-elegir-el-mejor-filtro-anti-spam-para-windows-15872.html


3. Busca en tu servicio de correo la configuracin de reglas de filtrado para spam o la Opcin de correo no
deseado.




4. Si tienes algn email con indicios de ser spam prubalo mediante:
http://www.emailspamtest.com/#


http://whatismyipaddress.com/blacklist-check



http://www.dnsstuff.com/tools



VIDEO
Creo en internet Chema Alonso (Eleven Paths)
http://www.youtube.com/watch?v=8dBH1ocToFw

Certificados y Autoridades

La Autoridad de Certificacin (AC o CA, segn las siglas de Certification Authority), es
la entidad que garantiza la autenticidad y veracidad de los datos recogidos en el
certificado digital expedido. Se trata de una suerte de institucin notarial que ofrece
fidelidad a un hecho jurdico.
El procedimiento de la Autoridad de Certificacin se produce gracias a la posesin y
utilizacin de una clave privada que garantiza la identidad del propietario del
certificado digital. Esto provoca la posibilidad de firmar electrnicamente los
certificados emitidos.
Por otra parte, la Autoridad de certificacin ofrece el servicio de verificacin de
validez de los certificados, ya que estos pueden ser revocados (pueden perder su
validez por caducidad o sancin).
La emisin de certificados puede realizarse a personas y empresas, as como a
Autoridades de Certificacin de menor rango, establecindose una jerarqua de emisin
de certificados. La estructura se organiza en funcin de una Autoridad de Certificacin
auto-firmada (convirtindose en la CA raz). El certificado de la ltima Autoridad de
Certificacin es avalado, para asegurar su autenticidad, mediante su instalacin en un
almacn de certificados del propio ordenador, que luego usarn los navegadores. As, se
descarga el certificado raz de la Autoridad de Certificacin desde su sitio Web,
ofreciendo confianza en la seguridad que ofrece su propia pgina.
Un concepto esencial para la comprensin de las Autoridades de Certificacin es el de
infraestructura de clave pblica o, segn sus siglas en ingls, PKI (Public Key
Infrastructure). PKI es una combinacin de software y hardware, polticas y
procedimientos de seguridad que permiten ejecutar operaciones criptogrficas, como el
cifrado, la firma digital o el no repudio de transacciones electrnicas, con las garantas
necesarias.
Las partes que intervienen cuando se usa infraestructuras PKI son:


Comprobacin de certificados
Primero vamos a aclarar algunos conceptos necesarios para entender cmo funciona la
comprobacin de certificados.
Autoridad de certificacin (AC): Tambin conocida como Autoridad Certificadora o entidad
emisora raz, es una entidad de confianza que crea certificados digitales para aquellas
personas/entidades que lo soliciten. Estos certificados sirven para identificarse en Internet y por
ello, antes de crearlos, la autoridad verifica que los solicitantes son quienes dicen ser, adems de
cumplir con una normativa estricta en el proceso de creacin de estos certificados.
Certificado de clave pblica o certificado digital: Es el elemento que sirve para identificarse en
Internet. Consiste en un documento digital que ha sido emitido por una Autoridad de Certificacin
y que, por tanto, asegura que quin nos presenta dicho certificado es, en el mundo real, el mismo
que figura en la informacin del certificado.
Certificado raz: Las Autoridades de Certificacin utilizan su propio certificado digital para la
creacin de los distintos certificados digitales, que sern utilizados como mecanismos de
identificacin en Internet. El certificado de la propia Autoridad es el que se denomina
certificado raz. Si el navegador tiene instalado este certificado raz, podr verificar con l todas
las pginas que tengan un certificado, emitido por dicha autoridad de certificacin.
Autoridad intermedia o entidad emisora intermedia: Una autoridad puede emitir un certificado
digital a una empresa que permitir que dicha empresa cree otros certificados digitales. Esta
empres se convierte en una autoridad de certificacin intermedia o entidad emisora
intermedia y deber cumplir una estricta normativa en la creacin de los certificados que emite.
Ruta de certificacin: La creacin de entidades emisoras intermedias va creando una cadena o
rbol de certificaciones, que es lo que se conoce como ruta de certificacin, donde como entidad
inicial estar la Autoridad de certificacin raz.

Los navegadores normalmente contienen los certificados raz de la mayora de las autoridades
de certificacin, lo que significa que podrn verificar los certificados emitidos por cada una de
ellas y, por tanto, confiar en los sitios web que se identifiquen con ellos.
Para determinar si un sitio web es de confianza, el navegador comprueba su certificado digital y qu
autoridad lo ha emitido. Si conoce dicha autoridad y confa en ella, tendr instalado su certificado
raz como de confianza, y podr comprobar que el certificado digital del sitio web ha sido emitido
por dicha entidad emisora, as como la vigencia de su validez.

Aunque la mayora de las veces, el navegador comprueba sin problemas la validez del certificado
digital, hay ocasiones en las que, aunque queramos acceder a un sitio que sabemos es de confianza,
el navegador nos dice que no es confiable. Esto sucede, habitualmente, porque el navegador no
dispone del certificado raz de la autoridad que ha creado el certificado digital con el que se est
identificando el sitio web. En ese caso debemos indicar al navegador, de forma manual, que s
confiamos en el sitio y en la autoridad que lo certifica.

Bot y Payload

Bot: Contraccin de la palabra robot. Es un programa que permite que el sistema sea controlado
remotamente sin el conocimiento ni consentimiento del usuario.
Payload: Son los efectos producidos por un virus.


Muleros
Los muleros
Seguramente al or hablar de muleros lo relacionis con el mundo de la droga, pero en la prctica
puede hablarse de cualquier sector. Son personas como t y como yo, que tienen su pareja y su
trabajo, y viven en un pisito o en una casa familiar.
Un buen da, recibes una oferta de trabajo interesante. Un empleo desde la comodidad de tu casa, en
el que hars de intermediario entre una conocida empresa y sus clientes. Puesto que la empresa
normalmente est en el extranjero, y suele operar en tu pas, prefieren pagarte justo a t un 5% de
todas las transferencias que hagan. El interesado se pondr a investigar, y en efecto la empresa
existe, y quizs le de por llamar y tambin tendrn servicio al cliente. Te pasarn contrato, te
pasarn todo lo que pidas, porque la empresa funciona como un organismo legal.
Si aceptas, peridicamente ingresarn en tu cuenta dinero. Un dinero que tendrs que sacar
(descontando el porcentaje acordado), y enviar mediante un sistema de pagos inrrastreable de los
muchos que existen (Western Union, Adac Rentals Ltd,). Dinero fcil y rpido, verdad?
Pero un da te llega una llamada. Es tu banco, que te pregunta si sabes de dnde te est viniendo ese
dinero. T le explicas tranquilamente que tienes ese negocio, que es totalmente legal y que tienes
todos los papeles, pero la polica que te detiene no opina lo mismo. Acabas de transformarte en
un mulero, y te enfrentas a aos de crcel por blanqueo de dinero. Lamentablemente, en estos
casos, lo ms probable es que sea el mulero quien paga y echa a perder su vida, ya que la verdadera
mafia que hay por detrs destituyen la compaa y montan otra en cualquier otro lado.
Esta estafa puede ser llevada de muchas otras maneras, y de hecho solo es un engranaje ms en la
cadena de estafas de las mafias digitales. Con tu trabajo, has favorecido el buen quehacer de los
interesados en lo ajeno, y sers t el damnificado, no ellos.

Casos: Aurora, Stuxnet, Murdoch, Apple, ..
Herramientas: iSpy
Manuales de Al qaeda
Spyware, Adware, Troyano, Crawler,
0days, Ingenierasocial,
Prctica: Vulnerabilidad sobre Safari
Metasploit
Listas webcams grabadas
Troyano Reversing
Remote Administration Tools
Falsos Antivirus: Security Essentials, Byte Defender,
Black home
Websense
iCracked







5. Infrmate que son las listas Robinson (http://listarobinson.es/default.asp)
El Servicio de Lista Robinson es un servicio de exclusin publicitaria gestionado por la Asociacin
Espaola de la Economa Digital , creado conforme a lo previsto en la normativa sobre Proteccin
de Datos.
Este servicio se enmarca en el mbito de la publicidad dirigida a nombre de una persona y a una
direccin de correo postal, a una direccin de correo electrnico o a un nmero de telfono
concreto.


MDULO: SEGURIDAD EN EQUIPOS INFORMTICOS
TEMA 2. AMENAZAS A LA SEGURIDAD Y TIPOS DE ATAQUES INFORMTICOS
ACTIVIDADES PARTE 7

1. Lee el siguiente artculo:
http://es.wikipedia.org/wiki/Tabla_arco%C3%ADris
Las tablas Rainbow son tablas de consulta que ofrecen un compromiso entre tiempo y espacio para
obtener claves en texto simple a partir del resultado de una funcin de hash.
Hash
Hash es una funcin que se aplica a un archivo de cualquier tipo, ya sea documentos, fotos,
msica,... y de la cual se obtiene una clave que representa de manera nica a ese archivo.
Este mtodo se utiliza mucho en las descargas de Internet para comprobar la integridad del archivo,
es decir, poder comprobar si en la descarga del fichero ha habido algn tipo de error. Para ello se
comprueba a ver si el hash obtenido del fichero es igual tanto al principio de la descarga
(normalmente los autores de los archivos suelen indicarlo) como al final.
Las funciones Hash ms importantes son:
SHA
MD5
LM
NTLM
Funcionamiento
A continuacin se explica mediante un ejemplo el funcionamiento de las Tablas Rainbow. El
ejemplo consiste en averiguar cul es la contrasea que produce el hash re3xes



1. Lo primero consiste en aplicar la reduccin (aplicar una funcin hash pero en sentido contrario) que
se utiliz por ltima vez en la tabla y comprobar si la contrasea obtenida aparece en la ltima
columna de la tabla (paso 1).
2. Si no resulta (en nuestro caso, rambo no aparece en la tabla) se vuelve a repetir el proceso, pero en
este caso con las dos ltimas reducciones (paso 2).
Si en este proceso se fallara de nuevo, se volvera a repetir el proceso pero aplicando 3 reducciones,
despus 4 reducciones y as hasta que se encontrase la contrasea. En el caso de no ser as, el
ataque habra fracasado.
3. Si el proceso ha sido positivo (paso 3, en este caso linux23 aparece en la tabla al final de la cadena),
la contrasea se recupera en el principio de la cadena que produce linux23. Aqu nos encontramos
con passwd al principio de la cadena almacenada en la tabla.
4. En este punto (paso 4) se genera una cadena y en cada iteracin se compara el hash con el que
queremos obtener. En este caso nos encontramos con el hash re3xes en la cadena. Por tanto la
contrasea actual (culture) genera este hash que es la que se busca.
Es importante saber que las tablas rainbow son creadas a partir de una funcin de hash especfica,
por ejemplo, para romper los hashes de MD5 necesitaremos unas tablas rainbow basadas en hashes
de MD5 y para SHA, tablas rainbow SHA.
Esta tcnica fue desarrollada por Philippe Oechslin como un mtodo basado en el compromiso
espacio-tiempo o tiempo-memoria.
Aplicaciones
Los programas que utilizan las tablas rainbow siempre han de utilizarse como auditoria de tus
contraseas en lo que se llama hacking tico.
Un ejemplo de herramienta que utiliza estas tablas es el programa Ophcrack, el cual permite
crackear las contraseas de Windows. Para evitar que aplicaciones como esta no rompan
contraseas tan fcilmente, es aconsejable utilizar Salts.
Salts
En criptografa, se denomina salt a un fragmento aleatorio (caracteres, nmeros...) que se le aade a
un hash dado para conseguir que si dos usuarios generan una misma contrasea, su hash no sea
idntico y con ello evitar problemas de seguridad.
Los salts tambin ayudan contra las tablas rainbow ya que extienden la longitud y con ello la
complejidad de la contrasea.
Enlaces externos
Rainbow Crack pgina donde se puede descargar el programa para crear Tablas Rainbow.
Tablas Rainbow aqu se pueden descargar tablas creadas, las cuales pueden llegar a ocupar 80 GB.
Ophcrack programa para poder utilizar las Tablas Rainbow.

http://www.securitybydefault.com/2013/09/mecanismos-de-autenticacion.html


2. Comprueba una correcta poltica de contraseas:
http://www.passwordmeter.com


https://www.microsoft.com/es-es/security/pc-security/password-checker.aspx


http://www.onlinehashcrack.com/index.php


3. Indica la ruta dnde est el fichero del sistema operativo (Windows, Linux) que contiene las contraseas
de los usuarios



Toda la informacin sobre usuarios, grupos y contraseas se guarda en los archivos:
/etc/passwd (informacin sobre usuarios)
/etc/group (informacin sobre grupos)
/etc/shadow (contraseas cifradas)
/etc/gshadow (contraseas cifradas de los grupos) [normalmente no se usa este fichero]
En estos archivos de texto, se almacena la informacin lnea a lnea (cada una es un usuario o un
grupo).
Dentro de cada lnea hay varios campos separados por :
Fichero /etc/passwd
Cada una de las lneas representa un usuario y responde al esquema:
usuario : x : UID : GID : comentarios : directorio_home : shell
usuario: es el login o nombre de usuario (nombre nico para cada usuario)
x: contrasea: aparece una x; la contrasea se encuentra cifrada en /etc/shadow
UID: User IDentifier (n de Identidad de Usuario). Es nico. Debe ser un entero0 (el cero
se reserva para root y del 1 al 99 se reservan para tareas del sistema). Usar de 100 en
adelante.
GID: n de Identidad de Grupo (el cero se reserva para el grupo root)
comentarios: nombre real u otros comentarios sobre el usuario (puede contener espacios)
directorio_home: directorio de inicio del usuario
shell: intrprete de comandos (normalmente bash). Si ponemos /bin/false el usuario no podr
ejecutar ningn comando del sistema
Ejemplo:
dani@guadalinex:~$ cat /etc/passwd
root:x:0:0:root:/root:/bin/bash
daemon:x:1:1:daemon:/usr/sbin:/bin/sh
bin:x:2:2:bin:/bin:/bin/sh
...
identd:x:100:65534::/var/run/identd:/bin/false
sshd:x:101:65534::/var/run/sshd:/bin/false
gdm:x:102:103:Gnome Display Manager:/var/lib/gdm:/bin/false
dani:x:1000:100::/home/dani:/bin/bash
yaiza:x:1001:1001:,,,:/home/yaiza:/bin/bash
Tecleando en un terminal cat /etc/passwd nos muestra el contenido del fichero /etc/passwd
Observe como el primer usuario que aparece (primera lnea) es root
A continuacin una serie de usuarios (no reales) del sistema
Por ltimo (dos ltimas lneas) los usuarios "dani" y "yaiza"
Podemos comprobar como en esta distribucin de Linux ( GuadaLinex 2004) los nmeros de
usuarios empiezan desde 1000 en adelante (en otras distribuciones lo hacen desde 100 o desde 500)
Fichero /etc/group
Cada una de las lneas representa un grupo y responde al esquema:
grupo : x : GID : lista_usuarios
grupo: es el nombre del grupo
x: contrasea: aparece una x; la contrasea se encuentra cifrada en /etc/shadow. Si este
campo aparece vaco, significa que el grupo no necesita contrasea.
GID: n de Identidad de Grupo (el cero se reserva para el grupo root)
lista_usuarios: lista de usuarios que pertenecen al grupo separados por comas. Tambin se
pueden aadir usuarios de otros grupos, con lo que tendran todos los privilegios de este
grupo
Nota
Para aadir un nuevo usuario a un grupo, basta con agregarlo en la lista de usuarios (sin olvidar
poner la coma de separacin entres usuarios)
Fichero /etc/shadow
Cada una de las lneas representa un usuario y responde al esquema:
usuario : contrasea_cifrada : d1 : d2 : d3 : d4 : d5 : d6 : reservado
usuario: es el login o nombre de usuario (el mismo que en /etc/passwd)
x: contrasea: aparece una x; la contrasea se encuentra cifrada en /etc/shadow.
d1: n de das desde el 01/01/1970 hasta ltimo cambio de la contrasea.
d2: n de das que deben pasar hasta que se pueda cambiar la contrasea.
d3: n de das que deben pasar para que caduque la contrasea y deba ser cambiada.
d4: n de das de antelacin con los que avisar el sistema de la caducidad de la contrasea.
d5: n de das con contrasea caducada antes de deshabilitar la cuenta.
d6: n de das desde el 01/01/1970 y el da en que se deshabilit la cuenta.
reservado: campo reservado
Fichero /etc/gshadow
Al igual que el fichero /etc/shadow de las contraseas encriptadas para usuarios, tambin se puede
usar un fichero /etc/gshadow de contraseas encriptadas para grupos.
Se suele usar para permitir el acceso al grupo, a un usuario que no es miembro del grupo. Ese
usuario tendra entonces los mismos privilegios que los miembros de su nuevo grupo.
4- Busca dispositivos que capturen contraseas



5. Documntate y prueba con tu compaero las siguientes herramientas:
KeyGhost: http://www.keyghost.com


KeyLogger: http://www.keylogger.com


PWDump: http://www.tarasco.org/security/pwdump_7/

fgdump: http://foofus.net/goons/fizzgig/fgdump/

6. Video: http://www.securitytube.net/video/4573


PRCTICA
1) Crear usuarios en el sistema operativo
2) Usaropchcrack (Tablas)
2.1) LiveUSBOphcrack
2.2) Programa: ophcrack.exe

3) Arrancar en otros sistemas y copiar ficheros:
C:\Windows\System32\config\SAM
C:\Windows\System32\config\System

4) Uso de HirensBoot




1. Lee los siguientes artculos:
http://www.elrincondejavier.net/html/Article395.html
No funciona

http://kalilinux.foroactivo.com/t18-tutorial-fragrouter-en-kali-linux
Fragrouter es un programa para el encaminamiento de trfico de la red de tal manera como para eludir la
mayora de los sistemas de deteccin de intrusos.
La mayora de los ataques implementados se corresponden con los que figuran en las Redes Seguras''
Insercin, Evasin, y denegacin de servicio: Deteccin de intrusos en la red'' Eludir papel de enero de
1998.


Sintaxis

fragrouter [ -i interface] [ -p] [ -g hop] [ -G hopcount] ATTACK


ATTACK

-B1: base-1: reenvo de IP normal

-F1: frag-1: Enviar los datos solicitados en los fragmentos IP 8-byte.

-F2: frag-2: Enviar datos ordenados en fragmentos IP de 24 bytes.

-F3: frag-3: Enviar datos ordenados en fragmentos IP de 8 bytes, con un fragmento enviado fuera de orden.

-F4: frag-4: Enve los datos en orden de 8 bytes fragmentos IP, duplicando el penltimo fragmento en cada
paquete.

-F5: frag-5: Enviar los datos de salida del orden de 8 bytes fragmentos IP, duplicando el penltimo
fragmento en cada paquete.

-F6: frag-6: Enviar datos ordenados en fragmentos IP de 8 bytes, el envo del ltimo fragmento marcado en
primer lugar.

-F7: frag-7: Enviar datos ordenados en fragmentos IP de 16 bytes, que precede a cada fragmento con un 8-
byte nulo fragmento de datos que se superpone a la segunda mitad de la misma. Esto equivale a la visin
de superposicin de 16-byte fragmento reescribir los datos nulos de nuevo al ataque real.

-T1: tcp-1: Completa el protocolo de enlace TCP, enva FIN y RST falso (con sumas de comprobacin
incorrectas) antes de enviar los datos de pedidos 1-byte segmentos.

-T3: tcp-3: Completa el protocolo de enlace TCP, enviar datos ordenados en 1-byte segmentos, duplicando
el penltimo segmento de cada original paquete TCP.

-T4: tcp-4: Completa el protocolo de enlace TCP, enviar datos ordenados en 1-byte segmentos, el envo de
un adicional de 1-byte del segmento que se superpone al segmento penltimo de cada original paquete
TCP con una carga til de datos nulo.

-T5: tcp-5: Completa el protocolo de enlace TCP, enva los datos solicitados en los segmentos de 2 bytes,
que precede a cada segmento con un 1-byte nulo segmento de datos que se superpone a la segunda mitad
de la misma. Esto equivale a la visin de la superposicin de 2 bytes segmento reescribir los datos nulos de
nuevo al ataque real.

-T7: tcp-7: Completa el protocolo de enlace TCP, enviar datos ordenados en 1-byte segmentos intercalados
con segmentos de 1 byte nulo para la misma conexin, pero con nmeros de secuencia drsticamente
diferentes.

-T8: tcp-8: Completa el protocolo de enlace TCP, enviar datos ordenados en 1-byte segmentos con un
segmento enviado fuera de orden.

-T9: tcp-9: Completa el protocolo de enlace TCP, enviar datos de salida del orden de 1 byte segmentos.

-C2: TCBC-2: Completa el protocolo de enlace TCP, enviar datos ordenados en 1-byte segmentos
intercalados con paquetes SYN para los parmetros de conexin mismos.

-C3: TCBC-3: No complete protocolo de enlace TCP, pero enviar datos nulos en pedidos 1-byte segmentos
como si se hubiera producido. A continuacin, lleve a cabo un apretn de manos con los parmetros de
conexin TCP mismos, y enviar los datos reales en pedidos 1-byte segmentos.

-R1: tcbt-1: Complete TCP apretn de manos, cierra la conexin abajo con un RST, vuelva a conectar con
nmeros de secuencia drsticamente diferentes y enviar los datos de pedidos 1-byte segmentos.

-I2: ins-2: Completa el protocolo de enlace TCP, enviar datos ordenados en 1-byte segmentos, pero con
malas sumas de comprobacin TCP.

-I3: ins-3: Completa el protocolo de enlace TCP, enviar datos ordenados en 1-byte segmentos, pero sin
conjunto bandera ACK.

-M1: misc-1: Windows Thomas Lopatic de ataque NT 4 Service Pack 2 de fragmentacin IP de julio de 1997
(ver http://www.dataprotect.com/ntfrag/ para ms detalles). Este ataque slo se implant para UDP.

-M2: misc-2: Cadenas de Linux John McDonald IP ataque de fragmentacin IP de julio de 1998 (ver
http://www.dataprotect.com/ipchains/ para ms detalles). Este ataque slo ha sido implemento para TCP y
UDP.

http://danteslab.blogspot.com.es/2009/03/evitando-las-escuchas-en-redes.html
Evitando las escuchas en redes conmutadas
En un artculo que publiqu en Diciembre habl sobre distintas tcnicas para realizar escuchas en redes
conmutadas. Me qued pendiente desarrollar qu opciones tenemos frente a este tipo de ataques.

Las ataques de ARP Spoofing, tambin llamados envenenamiento ARP, se basan en introducir informacin
falsa en las tablas de ARP de uno (o ambos) de los de los extremos de una comunicacin con el fin de que
este utilice inadvertidamente al atacante como intermediario a la hora de trasnmitir y recibir informacin.
Esto permite al atacante no slo espiar la informacin intercambiada por el atacado, sino tambin
modificarla a su antojo.

Para combatir con eficacia este tipo de amenazas, un ingeniero de seguridad debe ser consciente de las
tcnicas de prevencin, deteccin y reaccin que puede emplear contra ellas.

La principal tcnica de prevencin es un buen diseo de la red. Muchos ingenieros no se dan cuenta, pero
poner PCs de usuario en redes de paso supone un verdadero riesgo ya que si alguno decidiese utilizar
herramientas de ARP Spoofing podra interceptar no slo el trfico destinado y originado hacia/desde su
segmento sino todo aquel que lo utilice como red de trnsito. Un diseo correcto puede limitar a un nico
segmento de red el dao que un atacante puede realizar mediante ARP Spoofing. La manera de evitar esto
es mantener las redes intermedias de trnsito vacas de PCs de usuarios, concentrando a estos en
segmentos localizados en las "hojas" de nuestra red.



A la izquierda de la figura anterior (no se por qu pero Blogger la saca muy borrosa, si quiere ver el original,
mucho ms definido, pulse sobre la imagen) se puede ver una red mal diseada al permitir que la red de
paso (B) contenga PCs de usuario. Cualquiera de estos PCs de usuario puede lanzar un ataque de ARP
Spoofing para desviar el trfico cursado entre el router interior y el exterior con el resultado de que podra
espiar todo el trfico saliente de la red A.
A la derecha de la figura anterior se encuentra un diseo correcto. En l, la red B se ha vaciado de PCs de
usuario. Los PCs que antes estaban en B han pasado a una red "hoja", C. Gracias a este diseo, un atacante
de la red C slo podra escuchar el trfico de su red pero no de la B.

Este buen diseo sobre el papel debe desplegarse en la prctica de manera correcta. Si a pesar de haber
vaciado de PCs las redes de trnsito, un intruso puede pinchar un porttil a una de estas redes seremos
igual de vulnerables que antes. Para evitarlo hay que tomar medidas preventivas en los niveles de la capa
OSI 2 y 1 (enlace y fsico):
En la capa 2 hay que segmentar los conmutadores que dan servicio a las distintas redes en VLANs
separadas asignando a cada VLAN nica y exclusivamente los puertos dedicados a cada uno de los
equipos residentes en ellas. Muchos administradores dejan puertos libres en cada VLAN por si un
da se necesita pinchar urgentemente un equipo a ellas sin tener que esperar a que el
administrador lo configure en el conmutador; esa comodidad tiene su contrapartida negativa y es
que se deja abierta una puerta a nuestra red, puerta que puede aprovechar un atacante para
pinchar su equipo a nuestra red si consigue acceso fsico al conmutador (cosa no demasiado difcil
en algunas organizaciones). Adems, los puertos en uso de las redes de trnsito deben protegerse
de alguna manera para evitar que mquinas no autorizadas se conecten a ellas. Lo ideal sera
desplegar una solucin del tipo NAC o 801.1X, pero la mayor parte de las redes actuales carece por
ahora de la infraestructura necesaria para algo tan complejo. Al menos, lo que s se puede hacer es
limitar el uso de esos puertos concretos del conmutador a las MACs concretas de los equipos
legtimos. No es una solucin definitiva porque es muy fcil falsificar la MAC de un equipo, pero al
menos servir para retrasar al atacante y, con suerte, generar algn log de error en el equipo que
servir para alertar a los administradores si estos cuentan con una infraestructura de correlacin de
logs adecuada (del tipo Cisco Mars, Bitcora, logICA, etc). Por ltimo, habr que configurar los
conmutadores correctamente para evitar que se utilicen contra ellos algunas de las VLAN Hopping
existentes para acceder a una VLAN desde un puerto perteneciente a otra diferente.
En la capa 1 las medidas de seguridad son evidentes y se corresponden, al fin y al cabo, con las
medidas de seguridad habitualmente recomendadas para las instalaciones de comunicaciones y
tratamiento de datos. Bsicamente se trata de impedir que una persona no autorizada pueda
interactuar fsicamente con alguno de nuestros conmutadores, por ejemplo pinchando su porttil a
una VLAN no autorizada, apagando el conmutador para forzar una redireccin del trfico, o
accediendo al puerto de consola del conmutador para reconfigurarlo. Para ello, el equipamiento de
comunicaciones debe situarse en armarios cerrados con llave y preferiblemente vigilados con un
circuito cerrado de cmaras, en salas de acceso restringido y con un soporte elctrico y climtico
controlado y a prueba de fallos.
Tambin est la opcin de desplegar infraestructuras especializadas en combatir este tipo de ataques. Tal
es el caso de algunas propuestas de cdigo abierto enfocadas a integrar en la red un servidor dedicado a
responder a las peticiones ARP a partir de una tabla centralizada con todas las correspondencias IP-MAC de
la red, de manera que los conmutadores bloquearan todas las respuestas ARP (incluidas las utilizadas por
el atacante para envenenar las tablas de ARP) excepto los originadas desde el puerto de este servidor. El
problema de esta opcin es la complejidad al no existir herramientas ya desarrolladas que implementen
estos mecanismos y depender de las soluciones artesanales que se programe cada uno.

Para seguir el resto de las explicaciones le recomiendo que descargue y experimente con la maqueta de
Netkit que he utilizado para escribir este artculo, es similar a la que se us de ejemplo en los artculos
"Creacin de laboratorios virtuales con Netkit" I y II (lea estos artculos si no sabe como utlizar una maqueta
realizada con Netkit) pero le he aadido una red de gestin, de manera que tenga una puerta trasera para
acceder a los equipos por SSH sin mezclarse con el trfico de la red de pruebas.

En el escenario de ejemplo, Alice quiere navegar por internet a travs de un conmutador y un enrutador
que le sirve de puerta de enlace; y PC-Sniffer quiere espiar el trfico que Alice intercambia con Internet.

Teniendo en cuenta lo anterior y a partir de ahora, el esquema de la red de pruebas que vamos a utilizar en
este artculo es el siguiente:




En lo que se refiere a las tcnicas de deteccin, la vigilancia de los paquetes intercambiados en la red y de
las tablas de ARP de los equipos clave sern nuestras principales armas.

Vigilando el trfico de red se pueden detectar anomalas que nos alerten del trascurso de un ataque de ARP
Spoofing. Examinando con Wireshark capturas del trfico cursado a travs del Switch de la maqueta
podemos ver las siguientes anomalas:
En la captura del ataque con Ettercap podemos ver (paquetes 1 a 4) como el PC Sniffer
(192.168.0.3) pregunta a la red por la MAC del Router (192.168.0.1) y por la de Alice (192.168.0.2).
En los paquetes 5 y 6 ya aparecen las primeras seales de alerta; aparentemente el Router y Alice
se lanzan pings entre s, pero si examinamos la MAC de origen de ambos ping podemos ver que en
realidad se trata la MAC del PC-Sniffer!. Inmediatamente despus, y sin esperar respuesta a los
ping, el PC Sniffer manda actualizaciones de ARP para "envenenar" las tablas de Alice y el Router
(paquetes 7 y 9). El resultado es que las respuestas a los pings le llegan al PC-Sniffer, lo que le
permite saber que su ataque ha tenido xito. En los paquetes 15 y 16 se puede ver como las
respuestas a los pings se reenvan a sus legtimos destinarios, tal y como se har con el resto del
trfico una vez que el PC-Sniffer lo haya visualizado. A partir de ah (paquetes 19 a 26) se puede ver
como el PC-Sniffer insiste machaconamente en enviar paquetes de actualizacin ARP para
mantener las tablas de Alice y del Router "correctamente envenenadas". Si todo lo anterior ya
debera inquietarnos, es cuando Alice comienza a navegar cuando vemos que algo va
definitivamente mal. Porque a partir del paquete 43 vemos que todo el trfico parece duplicado.
Esto se debe a que el trfico tiene que atravesar el Switch una vez, de camino al PC-Sniffer, y otra,
de camino a su destinatario, en vez de atravesar el Switch una nica vez (que sera lo lgico). De
hecho, al mismo Wireshark le parece rara la situacin y a partir del paquete 48 comienza a colorear
de negro los paquetes repetidos para alertar de que algo no va nada bien.
Por su parte, en la captura del ataque realizado con Arppoison (incluido en la carpeta /root/scripts
del PC-Sniffer de la maqueta), se pueden observar comportamientos anmalos. Arpoison es una
herramienta programada con fines didcticos, as que su funcionamiento es algo ms primitivo que
el de Ettercap. Para empezar no hace un ping previo para comprobar que el envenenamiento se ha
realizado con xito y luego produce las mismas anomalas en los paquetes intercambiados e incluso
alguna ms. Y es que, cuando se usa Arpoison, se puede ver como en las capturas realizadas en el
Switch aparece paquetes de ICMP Redirect (el primero aparece en el paquete 12), tan raros en las
redes modernas que el Wireshark lo colorea de negro para sealarlo como anomala. Esto se debe
a que Arpoison utiliza Scapy para manejar paquetes y este a su vez Libpcap para realizar las
escuchas. el problema es que Libpcap saca copias de los paquetes recibidos y se las entrega a las
aplicaciones de usuario, pero no impide que los paquetes originales sigan siendo procesados por el
kernel del PC. El kernel del PC-Sniffer no sabe nada de las aviesas intenciones de su dueo por lo
que reacciona automticamente cuando recibe un paquete que no est dirigido a su direccin IP
enviando un paquete de ICMP Redirect alertando al remitente de que esos paquetes no le
corresponden. Esta anomala es tan evidente que cualquier IDS/IPS, por malo que fuese, lo habra
detectado; para evitarla el dueo del PC-Sniffer podra haber activado su cortafuegos local para
bloquear con l todos los paquetes ICMP salientes (si su cortafuegos le permite afinar bastara con
bloquear los paquetes ICMP Redirect salientes).

A nivel local, las inconsistencias en las tablas de ARP son sntomas muy serios de un posible ataque.
Generalmente, es muy difcil que un PC y el enrutador que hace de puerta de enlace de la red tengan la
misma MAC por lo que cuando esto ocurra deberan encenderse nuestras alarmas. Otra anomala que
debera ponernos en alerta es el cambio de la MAC conocida de equipos clave de la red, como por ejemplo
los enrutadores que hacen de puerta de enlace.

En estado normal, la tabla de ARP de Alice tiene el siguiente aspecto:
PC-Alice:~# arp -i eth0 -a
? (192.168.0.1) at EA:0E:85:D7:58:04 [ether] on eth0


Si el atacante (PC-Sniffer) iniciase un ataque con Ettercap:
PC-Sniffer:~# ettercap -M arp:remote -T /192.168.0.1/ /192.168.0.2/

ettercap NG-0.7.3 copyright 2001-2004 ALoR & NaGA

Listening on eth0... (Ethernet)

eth0 -> CA:88:E3:51:83:57 192.168.0.3 255.255.255.0

SSL dissection needs a valid 'redir_command_on' script in the etter.conf file
Privileges dropped to UID 65534 GID 65534...

28 plugins
39 protocol dissectors
53 ports monitored
7587 mac vendor fingerprint
1698 tcp OS fingerprint
2183 known services

Scanning for merged targets (2 hosts)...

* |==================================================>| 100.00 %

2 hosts added to the hosts list...

ARP poisoning victims:

GROUP 1 : 192.168.0.1 EA:0E:85:D7:58:04

GROUP 2 : 192.168.0.2 BA:4E:E3:B8:96:91
Starting Unified sniffing...


Text only Interface activated...
Hit 'h' for inline help



Sat Mar 14 10:59:44 2009
TCP 192.168.10.1:49581 --> 192.168.0.2:22 | AP

...`..........I.S.4S..o^...D./~.....u.i....K...gaK5J

El resultado sobre la tabla de ARP de Alice sera el siguiente:
PC-Alice:~# arp -i eth0 -a
? (192.168.0.1) at CA:88:E3:51:83:57 [ether] on eth0
? (192.168.0.3) at CA:88:E3:51:83:57 [ether] on eth0

Como se puede ver, desde el punto de vista de Alice, no slo ha cambiado la MAC del enrutador
(192.168.0.1) sino que adems ahora parece coincidir con la MAC de un PC (192.168.0.3), lo que es seal
inequvoca de que se est produciendo un ataque de ARP Spoofing que intenta desviar el trfico de Alice
destinado al enrutador hacia un PC intruso. Cuando este PC finaliza Ettercap, este se encarga de restablecer
las tablas de ARP a su estado correcto. Lo que deja a Alice de la siguiente manera:
PC-Alice:~# arp -i eth0 -a
? (192.168.0.1) at EA:0E:85:D7:58:04 [ether] on eth0
? (192.168.0.3) at CA:88:E3:51:83:57 [ether] on eth0

Como se puede ver, el ataque deja huellas tanto durante su transcurso como durante un corto tiempo tras
l (hasta la expiracin de la entrada en la tabla de ARP). Esto se debe a que el intruso debe interactuar con
sus vctimas, antes de iniciar el ataque, para recopilar las MACs de dichos equipos con el fin de reparar las
tablas de ARP tras l. Se puede estudiar la estructura interna de un programa similar a Ettercap en el
mencionado artculo sobre escuchas en redes conmutadas. En ese programa, el Arpoison mencionado
antes, la funcin que deja la huella "incriminatoria" en las tablas de ARP es la funcin gatherData(),
ejecutada antes del ataque mismo. Como esta funcin debe preguntar a Alice y al Router por sus MAC
mediante una llamada de ARP (representada en el cdigo fuente del artculo por la llamada a la funcin
scapy.getmacbyip() dentro de gatherData()), es el momento en el que el atacante PC-Sniffer "toca"
directamente a sus vctimas dejando las huellas mencionadas. Se podra plantear la pregunta de si el
atacante podra renunciar a ejecutar esta funcin para minimizar su huella, pero lo cierto es que no, porque
si no averigua las MACs originales de los equipos a espiar no podr lanzar el ataque ni reconstruir las tablas
de ARP tras l.

Visto lo anterior, es evidente que son necesarias herramientas automatizadas que nos permitan defender
las tablas de ARP de los equipos crticos que queramos salvaguardar de este tipo de ataques.

Una de las herramientas clsicas a este respecto es Arpwatch. Esta herramienta monitoriza la tabla de ARP
y alerta por correo electrnico al administrador cuando se produce el cambio de una correspondencia IP-
MAC. Lo ideal es instalar dicha herramienta en todas las estaciones de trabajo Linux de la red. En redes con
direccionamiento esttico, si se tiene la certeza de que no se ha producido el recambio de la tarjeta de red
de ningn ordenador, la llegada de un correo de Arpwatch suele ser alerta inequvoca de que se est
produciendo un ataque de ARP Spoofing. En redes con direccionamiento dinmico (DHCP), los pares IP-
MAC cambian con cierta frecuencia, por lo que puede ser complicado monitorizar todos los cambios,
aunque lo que s se puede vigilar es el registro IP-MAC de la puerta de enlace por defecto de cada red, la
cual debera permanecer inalterable en las tablas de ARP de todas las estaciones de trabajo.

Otra opcin, algo ms compleja pero con ms posibilidades es ArpON. A diferencia de Arpwatch, ArpON no
se limita a alertar al administrador sino que reacciona para bloquear el ataque. ArpON tiene dos modos de
funcionamiento, esttico y dinmico. En modo esttico (SARPI), ArpON toma nota al arrancar de las
entradas de la tabla de ARP, guardando esta informacin en una cach alternativa. A partir de ah, ArpON
slo permite que se tramiten las peticiones y respuestas ARP de pares IP-MAC que no entren en
contradiccin con la informacin previa de su cach. El modo dinmico (DARPI) es similar, pero permite que
la cach de ArpON vaya incorporando nuevos pares IP-MAC desconocidos en el momento de su arranque.

En redes con DHCP se puede optar tambin por activar un sistema de DHCP Snooping. Aparte de evitar que
aparezcan servidores DHCP "furtivos", este sistema mantiene un registro de las MACs asociadas a las IPs
concedidas y los puertos de los conmutadores donde se encuentran estas MACs. Con esta informacin, el
sistema monitoriza los intercambios de ARP que se producen en sus puertos y si detecta un paquete ARP
cuyo origen a nivel IP no se corresponde con la MAC registrada lo bloquea para impedir el
envenenamiento. Esta opcin se encuentra ampliamente disponible, por ejemplo en los equipos de Cisco
donde recibe el nombre de Dynamic ARP Inspection.

2. Conoce el siguiente lenguaje de programacin:
http://pyspanishdoc.sourceforge.net/











http://mundogeek.net/tutorial-python/



























http://es.diveintopython.net/odbchelper_divein.html



3. Conoce las siguientes herramientas:
SolarWinds

Muy caro

RainbowCrack

Brutus


1. Visita los siguientes enlaces:
http://www.viruslist.com/sp/index.html
http://www.offensive-security.com/metasploit-unleashed/Password_Sniffing
2 Busca informacin relacionado sobre las siguientes personas:
MerceMolist
Barret Brown
Brian Kreps
4. Utiliza la siguiente herramienta:
AngryIP: http://angryip.org/w/Home
SuperScan: http://www.mcafee.com/es/downloads/free-tools/superscan.aspx
NetStumbler: http://www.netstumbler.com/
CommView for WiFi: http://descargar.cnet.com/CommView-for-WiFi/3000-2085_4-10218782.html
5. Componente para instalar en tu navegador:
Enigma GPG http://www.enigmagpg.com/
GNU PG: http://www.gnupg.org/gph/es/manual.html

MDULO: SEGURIDAD EN EQUIPOS INFORMTICOS
TEMA 2. AMENAZAS A LA SEGURIDAD Y TIPOS DE ATAQUES INFORMTICOS
ACTIVIDADES


1. Lee el artculo:
http://www.infospyware.com/articulos/que-son-los-malwares/
http://www.informatica-hoy.com.ar/software-seguridad-virus-antivirus/Como-saber-si-tu-computadora-tiene-un-
virus.php
http://es.wikipedia.org/wiki/Anexo:Lista_de_software_antivirus
http://www.infospyware.com/blog/antivirus-que-menos-ralentizan-el-pc-av-comparatives-mayo-2013/
http://www.eduteka.org/Virus.php
http://www.mejor-antivirus.es/
http://www.expresionbinaria.com/la-heuristica-y-los-antivirus/
http://www.pandasecurity.com/img/enc/infection_spain.htm
http://mukom.mondragon.edu/socialmedia/como-saber-si-mi-sitio-web-tiene-virus/
http://www.securityartwork.es/2013/10/30/badbios/
2. Escanea online y compara los resultados de dos de ellas:
Listado general: http://www.zonavirus.com/anti-spyware-removal/
http://www.pandasecurity.com/spain/homeusers/solutions/activescan/
http://latam.kaspersky.com/productos/antivirus-online-gratis
http://www.bitdefender.es/scanner/online/free.html
3. Prueba, al menos 2 de cada una de las siguientes herramientas, puedes basarte en:
Listado general: http://www.zonavirus.com/descargas/
Opinin malware: http://www.techsupportalert.com/es/mejor-limpiador-gratuito-de-adware-spyware-
scumware.htm
Opinin rootkits: http://www.techsupportalert.com/es/mejor-escaner-limpiador-de-rootkits.htm#GMER


PRCTICA
1) En la mquina virtual arranca un sistema operativo
2) Descarga la herramienta Kaspersky Virus RemovalTool
http://www.kaspersky.com/virus-scanner
2.1) Crea el arranque desde CD/USB
2.2) Arranca y ejecuta la herramienta
Descarga un virus, siguiendo las instrucciones: (buscar informacin del tipo y la infeccin)
http://norfipc.com/virus/probar-antivirus.html
http://ultranet.webcindario.com/virus/virus.html
http://vxheavens.com/vl.php
http://www.viruszoo.com/
3) Descarga la aplicacin Microsoft Malicious Software RemovalTool
http://www.microsoft.com/es-es/download/malicious-software-removal-tool-details.aspx
3.1) Arranca el sistema en Modo Seguro (F8)
3.2) Ejecuta la aplicacin.
4) Descarga otra herramienta para eliminar malware y ejectala

5. Lee los siguientes artculos:
http://www.soaagenda.com/journal/articulos/cross-site-scripting/
http://www.seguridad.unam.mx/documento/?id=35
http://www.hacktimes.com/robo_de_sesiones_http_mediante_xss/
http://wiki.elhacker.net/bugs-y-exploits/nivel-web/xss
http://cwe.mitre.org/data/definitions/79.html
http://www.cgisecurity.com/csrf-faq.html
http://code.google.com/p/doctype-mirror/wiki/EsArticleE4XSecurity
http://www.antrax-labs.org/2013/03/xss-desde-cero-completo.html
6. Infrmate de las caractersticas del lenguaje de programacin VBA y JS:
http://www.oocities.org/supernewcars/vb/basic.htm
http://guapaweb.site88.net/manuales/html/vbslenguaje.htm
http://www.webtaller.com/construccion/lenguajes/vbscript/lecciones/introduccion_a_vbscript.php
http://www.maestrosdelweb.com/editorial/%C2%BFque-es-javascript/
7. Enlaces con informacin de ataques XSS:
http://seguinfo.wordpress.com/2012/11/14/xss-en-google-lo-que-faltaba/
http://thehackernews.com/2012/11/paypal-bug-bounty-program-playing-fair.html
8. Herramientas para analizar ataques XSS:
OWASP: https://www.owasp.org/index.php?title=OWASP_Xenotix_XSS_Exploit_Framework&setlang=es
Acunetix: http://www.acunetix.com/cross-site-scripting/scanner/
9. Video:
http://cert.inteco.es/cert/Notas_Actualidad/auditando_vulnerabilidades_xss_20120404;jsessionid=9A6A67
F80616BF18D5607884648501E4?postAction=getLatestInfo


10. Lee los siguientes artculos:
http://www.flu-project.com/inyecciones-sql-que-son-como-funcionan-y-como-deben-filtrarse.html
http://programandonet.com/web/ataques-sql-injection/
http://parasitovirtual.wordpress.com/2010/07/10/introduccion-a-los-ataques-sql-injection/
http://www.dotnetpuebla.com/portal/Publicaciones/Articulos/848.aspx
http://neosysforensics.blogspot.com.es/2013/01/jugando-si-se-aprende-advierto-nivel.html
http://www.webtaller.com/construccion/lenguajes/php/lessons/evitar_inyeccion_sql.php
11. Infrmate de las caractersticas del lenguaje de programacin SQL:
http://www.1keydata.com/es/sql/
http://fbddocs.dlsi.ua.es/practicas-sql-espanol
http://www.sqlserverya.com.ar/
12. Enlaces con informacin de ataques SQL:
http://www.seguridadapple.com/2010/08/applecom-afectado-por-un-ataque-masivo.html
http://www.forospyware.com/t375277.html
http://www.satinfo.es/web/noticies/2008/mssql_realplayer.html
13. Herramientas para analizar ataques y pruebas SQL:
Badstore: http://www.badstore.net/
HACME (Foundstone SASS Tools): http://www.mcafee.com/us/downloads/free-tools/index.aspx
WebGoat: https://www.owasp.org/index.php/Category:OWASP_WebGoat_Project
Multidae: http://www.irongeek.com/i.php?page=mutillidae/mutillidae-deliberately-vulnerable-php-owasp-
top-10
http://www.hackplayers.com/2008/08/herramientas-sql-injection.html