Page 1

LA SEGURIDAD EN LA INTERNET


1

SNIFFING

Se trata de una técnica por la cual se puede "escuchar" todo lo que circula por una red. Esto que en principio es propio de una red interna o Intranet, también se puede dar en la red de redes: Internet. Esto se hace mediante aplicaciones que actúan sobre todos los sistemas que componen el tráfico de una red, así como la interactuación con otros usuarios y ordenadores. Capturan, interpretan y almacenan los paquetes de datos que viajan por la red, para su posterior análisis (contraseñas, mensajes de correo electrónico, datos bancarios, etc.). Por ello, cada vez es más importante enviar encriptada la información. Por ejemplo, los mensajes de correo electrónico y archivos delicados deben enviarse encriptados con PGP o GnuPG. La transferencia de archivos mediante FTP debe evitarse en lo posible, utilizando SSH. 1.1

Cómo funcionan los Sniffers:

El modo más sencillo de comprender su funcionamiento es examinándola forma en que funciona un sniffer en una red Ethernet. Se aplican los mismos principios para otras arquitecturas de red. Un sniffer de Ethernet es un programa que trabaja en conjunto con la tarjeta de interfaz de red (NIC, Network Interface Card), para absorber indiscriminadamente todo el tráfico que esté dentro del umbral de audición del sistema de escucha. Y no sólo el tráfico que vaya dirigido a una tarjeta de red, sino a la dirección de difusión de la red 255.255.255.255 (ósea a todas partes). Para ello, el sniffer tiene que conseguir que la tarjeta entre en

modo "promiscuo", en el que -como indica la propia palabra- recibirá todos los paquetes que se desplazan por la red. Así pues, lo primero que hay que hacer es colocar el hardware de la red en modo promiscuo; a continuación, el software puede capturar y analizar cualquier tráfico que pase por ese segmento. Esto limita el alcance del sniffer, pues en este caso no podrá captar el tráfico externo a la red (o sea, más allá de los Routers y dispositivos similares), y dependiendo de donde esté conectado en la Intranet, podrá acceder a más datos y más importantes que en otro lugar. Para absorber datos que circulan por Internet, lo que se hace es crear servidores de correo o de DNS para colocar sus sniffers en estos puntos tan estratégicos. 1.2

Programas Sniffers:

Hay una serie de aplicaciones que son las que principalmente se utilizan para este propósito del sniffing. A continuación, las indico, así como su forma de actuar: 1.2.1

SpyNet

Es un programa shareware muy sencillo, incluye 2 programas en 1, "CaptureNet" y "PeepNet". El primero es el que espía el tráfico en la red, guardando los paquetes de datos en formatos de bytes hexadecimales. Mientras que el segundo analiza los datos recopilados, reconstruyendo los paquetes, o reproduciendo los correos incluso las contraseñas de los E-mail empleados (sólo la versión de pago); además muestra las direcciones de los ordenadores que participan y el protocolo empleado (pop3, http, smtp, etc.), así como los programas empleados (navegadores, programas de ftp, de correo, etc.) incluso hasta el sistema operativo.


1.2.2

Ethereal

Muy aplaudido en el mundo Linux, y ya con una versión para Windows. Su funcionamiento es similar al anterior, pero menos gráfico, aunque informa de lo que encuentra según el uso del protocolo. Y por supuesto, cuando se trata de POP3 localiza rápidamente el usuario y la contraseña. Y para rematar es código abierto (open source) y además gratuito. 1.2.3

WinSniffer

Es un programa especialista en contraseñas. Busca en toda la red accesos de login (usuario) y contraseñas, mostrándolos en pantalla. En concreto en la versión de prueba muestra el usuario y en la de pago, además la contraseña. 1.3

Detección de los Sniffers:

Hay 2 técnicas básicas para detectar a los sniffers: Una basada en Host (por ejemplo, determinando si la tarjeta de red del sistema está funcionando en modo promiscuo). Y otra basada en la Red. En cuanto a los programas los hay muy variados, tanto en la forma de actuar como para el sistema operativo para el cual trabajan. En UNIX hay varios programas que pueden realizar esta tarea, pero destaca el Check Promiscuous mode (cmp). En Windows, AntiSniff, detecta si hay algún sniffer en la red, pero sólo trabaja en Windows 95 o 98. Su página web es www.astake.com Para DOS, tenemos la utilidad Promisdetect, que bajo MS DOS muestras información de la tarjeta de red, incluyendo la posibilidad de saber si está en modo promiscuo. Su página web es http://netsecurity.nu/toolbox/promisdetect

2

SPOOFING

El spoofing se puede traducir como “hacerse pasar por otro”. En términos de seguridad informática, se refiere al uso de técnicas o suplantación de identidad. Así que, como habréis podido imaginar, suele estar relacionado con usos maliciosos o de investigación. Dependiendo de la tecnología que se utilice, existen distintos tipos de spoofing. Entre ellos están el IP spoofing, el ARP spoofing, el DNS spoofing, el Web spoofing o el e-mail spoofing. El primero de ellos es el más conocido y consiste en sustituir la dirección IP origen de un paquete TCP/IP por otra dirección IP que se desee suplantar. Esto se consigue a través de programas diseñados específicamente para ello. Así, las respuestas del host que reciba los paquetes alterados irán dirigidas a la IP falsificada. El ARP spoofing se encarga de suplantar las tramas ARP. De esta forma consiguen enviar los equipos atacados a un host en el que los datos de nuestras máquinas estarán en manos de un delincuente. Para conseguir su objetivo, el hacker conseguirá duplicar las tablas que contienen las tramas ACR. Esto permitirá forzar a enviar paquetes a un host, controlado por el atacante. Por su parte, el DNS spoofing consiste en falsificar una IP para que, mediante un nombre DNS, consiga una IP. Pero ¿Cómo se consigue? Podría ser comprometiendo un servidor que infecte la caché de otro o modificando las entradas del servidor.

¿Qué es un ataque por suplantación de identidad y por DOS?


El Web Spoofing se encarga de suplantar una página real por una falsa, para conseguir datos de los usuarios. La página falsa actúa a modo de proxy, y así es posible solicitar información pedida por la víctima a cada servidor original llegando a evitar la protección SSL. Finalmente tenemos el e-mail spoofing, que consiste en suplantar una dirección de correo electrónico. Esta técnica se usa con asiduidad para el envío de correos hoax como suplemento perfecto para el uso de phising y SPAM. Uno de los casos más famosos de Spoofing de los últimos meses es el de Pokémon GO, que permitía a los entrenadores cambiar su ubicación a través del GPS para así recoger Pokémon sin moverse de casa. Pero nosotros os recomendamos no hacer caso de este truco, ya que Niantic promete banear a todos aquellos que hagan uso de este hack. Si aun así no te queda claro qué es o en qué consiste el spoofing, echa un vistazo al vídeo que hemos preparado

3 HIJACKING El secuestro es un tipo de ataque de seguridad de red en el que el atacante toma el control de una comunicación, como un secuestrador de avión toma el control de un vuelo, entre dos entidades y se enmascara como una de ellas. En un tipo de secuestro (también conocido como ataque de hombre en el medio), la perpetradora toma el control de una conexión establecida mientras está en progreso. El atacante intercepta mensajes en un intercambio de clave pública y luego los retransmite, sustituyendo su propia clave pública por la solicitada, de modo que las dos partes originales todavía parecen estar comunicándose entre sí directamente. El atacante usa un programa que parece ser el

servidor para el cliente y parece ser el cliente para el servidor. Este ataque se puede usar simplemente para obtener acceso a los mensajes o para permitir que el atacante los modifique antes de retransmitirlos. Otra forma de secuestro es el secuestro del navegador, en el cual un usuario es llevado a un sitio diferente al que el usuario solicitó. Hay dos tipos diferentes de secuestro del sistema de nombres de dominio (DNS). En uno, el atacante obtiene acceso a los registros DNS en un servidor y los modifica para que las solicitudes de la página web genuina se redirijan a otra parte, generalmente a una página falsa que el atacante ha creado. Esto da la impresión al espectador de que el sitio web se ha visto comprometido, cuando en realidad solo ha sido un servidor. En febrero de 2000, un atacante secuestró el sitio web de RSA Security al obtener acceso a un servidor DNS que no estaba controlado por RSA. Al modificar los registros DNS, el atacante desvió las solicitudes a un sitio web falso. A los usuarios les pareció que un atacante había accedido a los datos reales del sitio web de RSA y los había modificado, un problema grave para una empresa de seguridad. Este tipo de secuestro es difícil de evitar, ya que los administradores solo controlan sus propios registros DNS y no tienen control sobre los servidores DNS ascendentes. En el segundo tipo de secuestro de DNS, el atacante falsifica cuentas de correo electrónico válidas e inunda las bandejas de entrada de los contactos técnicos y administrativos. Este tipo de ataque se puede prevenir mediante el uso de autenticación para registros InterNIC. En otro tipo de secuestro del sitio web, el perpetrador simplemente registra un nombre de dominio lo suficientemente similar a uno legítimo que los usuarios a lo mejor lo escriban, ya sea confundiendo el nombre real o mediante un error tipográfico.


Este tipo de secuestro se está empleando actualmente para enviar a muchos usuarios desprevenidos a un sitio pornográfico en lugar del sitio que solicitaron.

4 4.1

HACKING ÉTICO Y NO ÉTICO ÉTICO

La seguridad TI es una de las mayores preocupaciones de las empresas hoy en día. Además de contar con una completa plataforma de seguridad, capaz de proteger la infraestructura empresarial, el hacking ético se ha convertido en un servicio fundamental para detectar dónde está el peligro o la vulnerabilidad.

las obligaciones que debe cumplir el auditor (confidencialidad, integridad, secreto profesional, límites de la auditoría, etc.). El resultado final indica los puntos débiles de la empresa y que pasos se deben realizar para eliminar dichas debilidades o mitigarlas caso de no ser posible su eliminación. Vector ofrece a sus clientes el servicio de hacking ético dentro de su área de seguridad de la división Software Products and Outsourcing, dirigida por Francisco Jose Mateos Ballester y Christopher McMahon. La principal ventaja del hacking ético es que aporta a las empresas las claves para protegerse de los ciberataques y conseguir tres objetivos fundamentales: •

Adelantarse a los posibles cibercriminales solucionando vulnerabilidades que pueden provocar un ciberataque. Concienciar a los profesionales de las compañías de la importancia de la seguridad informática en su trabajo diario. Mejora sus procesos de seguridad (actualización de software, plan de respuesta a incidentes, etc.).

Tal y como explica Vector, el hacking ético se divide en varias fases: 4.2 El hacking ético analiza los sistemas y programas informáticos corporativos, asumiendo el rol de un ciberdelincuente y simulando ataques a la empresa con el objetivo de evaluar el estado real de si seguridad TI. Para llevar a cabo este hacking ético es imprescindible contar con la autorización expresa de la empresa, plasmada en un contrato donde se indiquen

Acuerdo de Auditoría: consiste en elaborar un documento, consensuado con el cliente, que refleje el alcance de la auditoría, qué pruebas se van a realizar, qué obligaciones tiene el auditor, el nivel de permisividad de la empresa frente a las pruebas de ataques que se realicen, etc. 4.3

Recopilación de Información: En esta fase el auditor tratará de recabar toda la información posible sobre su


objetivo (empresa o aplicación). Para ello emplea las más diversas herramientas, desde simples búsquedas en Google, Bing, etc. hasta el empleo de herramientas como NMap y similares en búsqueda de puntos de entrada a la aplicación y/o empresa. Se busca información de todo tipo entre las que podemos mencionar: 4.4

Información sobre empleados: direcciones de emails, nombres de usuarios, información personal (estilo de vida, gustos sobre ocio, foros donde estén inscritos, etc.) para tratar de adivinar su contraseña en base a dicha información, cargo que ostentan en la organización, etc. 4.5

Información corporativa: a que se dedica la empresa, direcciones url de la empresa (internet e intranet), DNS que utiliza, que empresa les da hosting, directorios y archivos expuestos, servicios abiertos en los servidores de la empresa (http, https, ftp, ssh, etc.), versiones que ofrece de dichos servicios, sistemas operativos que emplea la empresa, documentación filtrada en internet buscando en sus metadatos, búsqueda de información relevante en comentarios en código de la página, etc. 4.6

Modelado de Amenazas: Con la información proporcionada, se define la importancia de los activos de la empresa y se crean árboles de ataque con posibles amenazas que puedan afectar a los activos objetivo de la auditoría. 4.7

Análisis de Vulnerabilidades: De forma activa se buscan puertos y servicios existentes para localizar vulnerabilidades. Se usan recursos como bases de datos de vulnerabilidades de aplicaciones, exploits que exploten dichas vulnerabilidades. Se usan herramientas manuales y automáticas de escaneo de vulnerabilidades para descubrirlas.

4.8

Explotación: En esta fase, el auditor confirma que las vulnerabilidades detectadas en la fase anterior son riesgos reales a los que está expuesta la empresa. 4.9

Post-explotación: El auditor recopilará evidencias de que la fase de explotación ha tenido éxito, valorará el impacto real que pueda tener la explotación para la empresa y tratará de llegar lo más adentro de la organización que pueda vulnerando otros ordenadores internos, creando puertas traseras para posteriores accesos, etc. 4.10 Reporte: el auditor Finalmente, el auditor elaborará un informe detallado con todas las vulnerabilidades detectadas, como explotarlas y como corregirlas o mitigarlas. Posteriormente, se elaborará un Plan de Mitigación de Vulnerabilidades en el siguiente ciclo de desarrollo y un seguimiento de las vulnerabilidades detectadas para confirmar la eliminación de estas. El hacking ético puede enfocarse en el análisis de la red externa o interna de la empresa, o de las aplicaciones web. En Vector cuentan con un Servicio de hacking ético realizado por personal experto en la materia y certificado.

5

NO ÉTICO

En su documento sobre la comprensión de los riesgos asociados con los piratas informáticos / crackers, (Smith y Rupp 2002) analizan los distintos tipos de clasificación que los piratas informáticos han colocado en diferentes autores a lo largo


de los años. Ellos distinguen la diferencia entre un hacker y un cracker que demuestra que un hacker generalmente se refiere a alguien que construye cosas, mientras que el primero tiene la intención maliciosa de romper o causar daños a los sistemas. Los piratas informáticos también caen en las categorías de ética y no ética, este último alineado con el término "cracker". Los piratas informáticos no éticos se han categorizado en diferentes grupos a lo largo de los años, desde bromistas de la escuela secundaria que quieren entrar en sistemas para la emoción hasta piratas informáticos criminales, que se ganan la vida con lo que hacen. El estudio Landreth fue el primer intento utilizado para clasificar a este tipo de hackers y los agrupó desde principiante hasta ladrón. La categoría de novatos se refiere a las personas traviesas que buscan la emoción de entrar en sistemas como el ejemplo anterior de niños de secundaria, mientras que el último representa la mayor amenaza. La categoría de ladrón estaría más cercanamente alineada con la de un pirata informático criminal a la que comúnmente se hace referencia hoy en día y es este grupo el que representa la mayor amenaza. Jain (2008) distingue entre hackers no éticos y éticos al señalar que, si bien la piratería como actividad se refiere al arte de irrumpir en el sistema, son las intenciones del pirata informático las que hacen que la actividad sea criminal o ética. Por lo tanto, un pirata informático con intenciones maliciosas es un pirata informático criminal y alguien que participa en piratería informática para ayudar a otros a exponer fallas de seguridad es un hacker ético. Jain continúa para discutir el dilema legal sobre cómo se puede probar si el hacker tiene o no intenciones delictivas. Esto plantea problemas cuando consideramos las

posibilidades de que un potencial hacker ético inocente pueda ser tratado como un pirata informático criminal o no ético que se salga con la suya con un crimen. Independientemente de esta área gris legal, Jain hace recomendaciones que los gerentes de seguridad de TI deberían considerar contratar hackers éticos para evaluar cuán seguros son sus sistemas de información. Palmer (2001) también sugiere que las organizaciones se han dado cuenta de que una de las mejores formas de evaluar la amenaza del intruso a sus intereses es que los profesionales independientes de seguridad informática intenten entrar en sus sistemas informáticos. Otras preocupaciones con la superficie de pirateo ético cuando se analiza el potencial de un pirata informático ético para cambiar sus intenciones que conducen a un comportamiento malicioso. Pashel (2006) discute los problemas éticos de proporcionar hacking y educación ética y conductual a los estudiantes y discute el problema de que la población en general no entiende las computadoras y el daño que puede causar el uso no ético de ellas. Pashel concluye que, con muchos conjuntos de habilidades, no es improbable que un puñado de estudiantes utilice sus nuevas habilidades encontradas de forma maliciosa, sin embargo, los beneficios se obtienen de esta manera al proporcionar habilidades importantes en la seguridad de la red. Sin lugar a duda, la piratería ética continuará siendo examinada de diferentes maneras, pero al mismo tiempo, los profesionales con estos conjuntos de habilidades que los utilizan de una manera no maliciosa continuarán siendo recursos invaluables para las empresas que necesitan asegurar sus redes como más avanzadas. amenazas a la superficie.


6

Ataque Man In The Middle (MITM)

El ataque Man In The Middle, o en español Hombre en el Medio, consiste en introducirse en la comunicación entre dos equipos para que todo el tráfico pase por nosotros y poder así desencriptar sus datos, contraseñas, etc. Para este tipo de ataques se necesitan dos máquinas víctima, que bien podría ser el servidor y un equipo de una red empresarial, o bien el router y el equipo de nuestra víctima real, además de nuestro propio equipo. Como no vamos a hackear a nadie realmente, vamos a usar tres equipos o máquinas virtuales. Usaremos un Kali Linux como atacante, ya que dispone de las aplicaciones necesarias para este tipo de ataques y un Windows XP y un Windows 2003 Server ambos con dominio. Estos dos últimos pueden ser sustituidos por cualquiera otra máquina. Lo primero que vamos a hacer es abrir el Ettercap-graphical en Kali y el WireShark. Este último programa es un potente sniffer de red, muy útil para los que trabajamos administrando redes informáticas, ya sea para ver posibles ataques, o simplemente para tener un mayor control del tráfico de red, e incluso diagnosticar problemas de red por exceso de tráfico. Para abrirlo vamos a Aplicaciones, Kali Linux, Husmeando, Envenenamiento de redes y ettercal-graphical. El WireShark dispone de una guía de uso en la sección Manuales.


Se abrirá la siguiente pantalla.

En el menú Sniff, pulsamos sobre Unfied sniffing.

Ahora si disponemos de más de una tarjeta de red, o interface de red virtuales, seleccionamos la correspondiente, en mi caso eth1. Debe ser la interface de red que esté configurado con una IP dentro del rango de la víctima, que lógicamente conoceremos o será imposible atacar. Para saberlo existen miles de aplicaciones, de dispositivos móviles o de ordenador, cualquiera nois servirá, sino podéis acudir a la guía de hackear wifi, donde se muestran los comandos paso a paso para obtener esas IP.


Ahora nos aparecerán nuevos menús. Le damos a Hosts y San for hosts para ver que equipos existen en ese rango de IPs.

Una vez finalizado, que no tarda apenas, damos de nuevo al menú Hosts y a Hosts list para que nos muestre que equipos ha encontrado.


Encuentra los equipos de la red, mostrando sus IP y sus direcciones MAC de las tarjetas de red de cada equipo. Como véis, la MAC siempre es diferente, no existen dos iguales salvo que cambiemos una virtualizando esa dirección para falsearla. Lógicamente las IP deben ser también diferentes o tendrían problemas de conexión.

En mi caso la IP acabada en 31 es el Servidor y la 15 el Windows XP. Ahora debemos añadir objetivos, en este caso es muy simple, ya que sólo he levantado dos máquinas virtuales a parte de la atacante. Simplemente marcamos una de las dos víctimas y


le damos al botón Add to Target1. Después marcamos la otra víctima y damos al botón Add to target 2.

Ahora vamos a realizar un envenenamiento del protocolo ARP para que las víctimas se crean que soy la otra máquina de su red y me manden a mí su tráfico. Damos al manú Mitm y a Arp poisoning.

Nos saldrá la siguiente pantalla, marcamos la opción Sniff remote connections y aceptamos.


Ahora dejamos nuestro sniffer esnifando el tráfico. Demos a Start y a Start sniffing.

Vamos al XP y ejecutamos el comando arp –a para ver que esté correcto. Esto se hace en Inicio, Ejecutar y escribimos CMD. Nos saldrá la pantalla negra o consola donde vemos la diferencia del uso del comando arp –a antes y después del envenenamiento. La dirección IP acabada en 21 es la atacante, en este caso la Kali Linux. En la primera ejecución vemos que el Kali y el Windows Server tienen diferentes IP y diferentes direcciones MAC. Tras la ejecución del mismo comando tras el envenenamiento ARP, vemos que el Windows XP cree que el Windows Server tiene la dirección MAC del Kali :) Con esto hacemos que el tráfico dirigido al servidor, o router si fuese el caso, pase por nosotros.


Si vamos al Windows Server y ejecutamos el mismo comando, comprobaremos que todas las MAC serán las del Kali también tras el envenenamiento ARP, en este caso la del Windows XP. La que muestra con otra MAC es de una tarjeta de conexión a internet, que no necesitamos envenenar, ya que sólo queremos capturar el tráfico entre ambas máquinas.


Vamos ahora al Wireshark y lo ponemos a esnifar. Lanzamos un ping desde la terminal del Windows XP al Servidor de Windows (comando: ping 192.168.20.31). Vemos como las IP que aparecen sólo son del XP y el Servidor, no aparece el atacante por ningún lado.

Ahora vamos a crear un archivo iptable.sh en la carpeta home o personal del root para permitir que todo el tráfico pase por el Kali, para eso creamos unas rutas en el iptable o firewall por defecto del Kali Linux. Esto también se puede hacer con el comando nano iptables.sh


Le copiamos lo siguiente dentro del archivo iptables.sh que hemos creado. Podemos hacerlo por entorno grĂĄfico o desde lĂ­nea de comandos con un editor, por ejemplo el Nano con el comando sudo nano iptables.sh desde el directorio donde deseemos crearlo.

Le cambiamos los permisos al archivo creado para evitar problemas desde la terminal de comandos del Kali.

Ejecutamos el archivo creado.


Ahora pasamos al Ettercap.

AĂąadimos las dos direcciones como target 1 y 2 y hacemos el envenenamiento ARP como antes y volvemos a esnifar como ya hemos hecho.


Hacemos un sslstrip desde la consola de comandos del Kali para que las webs SSL (https) se conviertan en simples http y el Ettercap pueda obtener las contraseĂąas. Para ello escribimos lo siguiente.

Ahora vamos al Windows XP y entramos por ejemplo a la web de Instagram.

Nos logamos con un usuario y contraseĂąa ficticia para ver que funcione.


Nos vamos al Ettercap y vemos el enlace del Instagram, usuario y contraseĂąa, en este caso curso seguridad y Seguridad. Ya lo tenemos :)


Ahora probamos con Gmail por ejemplo y vemos que también funciona.

Como vemos se observa en abierto la cuenta de mail y su correspondiente contraseña. Ahora abrimos el Wireshark y esnifamos de nuevo. Nos mandamos un mail desde el Windows XP a nosotros mismos para probarlo. Nos mostrará muchos paquetes de tráfico.


Para evitar ver otros paquetes que no sean las solicitudes del mail, ponemos en el filtro http.request.method == POST y damos a Apply. Ya sรณlo nos mostrarรก el paquete deseado. Damos botรณn derecho del ratรณn sobre ese paquete y en Follow TCP Streem.

Y vemos en el contenido del paquete, quien manda el mail, a donde, el asunto y el contenido del mail, todo ello en rojo, en este caso se lee Prueba de correo como asunto y Hola como contenido, pero subiendo un poco muestra el origen y destino del correo.


Y bueno, asĂ­ con todo, una vez en medio, ya todo lo que trasmita estarĂĄ a nuestra merced. Este es con diferencia uno de los mĂŠtodos mĂĄs usados por los hackers. Para entrar en la red, suelen aprovechar las vulnerabilidades, principalmente el Wifi, y una vez dentro pueden hacer todo lo que desean, incluso hacerse administradores de los sistemas usando herramientas como MetaSploit.

Examen final  
Examen final  
Advertisement