tema1
Short Description
Descripción: tema de unir...
Description
Búsqueda de vulnerabilidades [1.1] ¿Cómo estudiar este tema? [1.2] Ingeniería social [1.3] Footprinting [1.4] Fingerprinting
TEMA
1
[1.5] Análisis de la información
TEMA 1 – Esquema
2
Técnicas contra el engaño • Concienciar a la gente • Charlas informativas • Pruebas de seguridad
Técnicas de ingeniería social • Tipos de técnicas (correo, teléfono...) • El phishing
Introducción • Qué es y en qué se basa
Ingeniería social
Técnicas de footprinting • Análisis de sitio web • Búsqueda de dominios • Uso de servicios web • Uso de las DNS • Análisis de metadatos • Búsqueda de correos
Introducción • Qué es y qué ventajas tiene
Footprinting
Búsqueda de vulnerabilidades
Técnicas de fingerprinting • Escaneo de puertos • Sniffing de paquetes
Introducción • Qué es y por qué es necesario
Fingerprinting
Análisis de Vulnerabilidades
Esquema
© Universidad Internacional de La Rioja, S. A. (UNIR)
Análisis de Vulnerabilidades
Ideas clave 1.1. ¿Cómo estudiar este tema? Para estudiar este tema lee los las Ideas clave que se exponen a continuación. En este primer tema trataremos la búsqueda de vulnerabilidades. La primera de todas ellas y la más importante es aquella situada entre el ordenador y la silla, el usuario, pues es más fácil engañarle a él que a una máquina. Partiendo de este principio se verá en qué consiste la ingeniería social, la técnica de engaño a las personas para que revelen información sensible o incluso para que lleguen a comprometer el sistema ellos mismos, ya sea adrede (por ejemplo algún empleado descontento) o por desconocimiento. También hablaremos de la técnica más usada a la hora de hacer ingeniería social, el phishing, que consiste en enviar un correo a la víctima haciéndonos pasar por otra entidad, para que introduzca los datos de la entidad a la que suplantamos. Después trataremos el tema de la búsqueda manual de información mediante dos técnicas, el footprinting, que consiste en la búsqueda de información pública de un objetivo y el fingerprinting, que consiste en obtener la información interactuando directamente con los sistemas a atacar. La primera técnica es mucho más silenciosa que la segunda, incluso llegando a ser totalmente inadvertida para la víctima. En primer lugar para la fase de footprinting nos centraremos en la página web de la entidad, donde podemos extraer información de malas configuraciones que tenga, enlaces abandonados o comentarios con información sensible como contraseñas o nombres de usuario. Luego utilizaremos servicios web como los buscadores, que pueden ayudarnos a encontrar páginas de la compañía, las vulnerabilidades o errores de configuración que tengan estas, si hay algún servicio que comparta host con alguna de estas páginas; u otro tipo de páginas que nos permiten hacer una recopilación de información pública de las personas de la entidad o de la entidad misma. También hay otros servicios web que nos permiten buscar cualquier tipo de dispositivo en Internet vulnerable, como
TEMA 1 – Ideas clave
© Universidad Internacional de La Rioja, S. A. (UNIR)
3
Análisis de Vulnerabilidades
routers o cámaras web, o que permiten ver las páginas históricas de un dominio, que bien utilizados se convierten en herramientas muy importantes. Además en la fase de footprinting utilizaremos los servidores DNS para un análisis de las máquinas de la entidad. Dependiendo de la configuración de estos servidores podremos obtener más o menos información y utilizaremos técnicas de fuerza bruta y diccionario para obtener páginas ocultas de los servidores y, también, a través de las DNS seremos capaces de conocer las páginas web que visita la entidad. Veremos los metadatos, que son datos almacenados en los documentos y que nos darán mucha información de gente de la entidad, aplicaciones y versiones software de ellas… Por último, respecto a footprinting, obtendremos los correos de las personas de la compañía con diferentes herramientas, tanto los correos corporativos como los personales, ya que dan mucho juego a la hora de realizar ingeniería social con ellos. Además, estos correos pueden ser una fuente de nombres de usuario para otros servicios y pueden estar comprometidos en algún ataque que haya sido público y sus contraseñas estén ya publicadas. Una vez acabada la fase de footprinting, realizaremos la fase de fingerprinting. Para ello, lo primordial será hacer un escaneo de puertos, técnica que se basa en el envío de paquetes TCP o UDP a los diferentes puertos de los dispositivos para saber si están abiertos o cerrados. Con este análisis podremos buscar los servicios que hay detrás de esos puertos y si son vulnerables a algún tipo de ataque. También se verá un poco el sniffing de paquetes, otra técnica de fingerprinting muy utilizada que consiste en capturar el tráfico de una red para su posterior análisis. Finalmente, se analizará toda la información conseguida y veremos qué información es importante a la hora de hacer estas fases de recolección y para qué podemos utilizarla.
1.2. Ingeniería social En seguridad informática se debe siempre intentar atacar al eslabón más débil, el usuario. Un alto porcentaje de la gente que utiliza ordenadores o dispositivos TEMA 1 – Ideas clave
© Universidad Internacional de La Rioja, S. A. (UNIR)
4
Análisis de Vulnerabilidades
conectados a internet tiene escasos o nulos conocimientos de informática y desconoce el peligro de la información de internet. Por ello, los atacantes son capaces de utilizarlo en su beneficio. Será más fácil engañar a una persona para que utilice un USB infectado, para que abra un correo o incluso para que nos facilite su contraseña haciéndonos pasar por un administrador del sistema, que intentar romper un algoritmo de cifrado o encontrar un hueco en el protocolo TLS. La ingeniería social es el arte de engañar y manipular a las personas para que revelen información confidencial. Surge del aumento de la seguridad de los sistemas informáticos en la actualidad, buscando la parte más débil. Según uno de los mejores ingenieros sociales y hacker de los últimos tiempos, Kevin Mitnick, las claves de la ingeniería social son: Todos queremos ayudar. El primer movimiento es siempre de confianza hacia el otro. No nos gusta decir «No». A todos nos gusta que nos alaben. La ingeniería social puede ser usada en cualquier fase de un ataque, tanto para la búsqueda de vulnerabilidades, obteniendo información sobre la empresa preguntando a un empleado convenciéndole de que somos un periodista o un empleado nuevo de la empresa; como para el ataque en sí, consiguiendo que alguien ejecute un archivo infectado haciéndonos pasar por alguien en quien tenga confianza. Una de las técnicas de ingeniería social más usadas es el phishing. El phishing es una técnica que consiste en suplantar una identidad para obtener información, normalmente credenciales de acceso como contraseñas y usuarios.
TEMA 1 – Ideas clave
© Universidad Internacional de La Rioja, S. A. (UNIR)
5
Análisis de Vulnerabilidades
Por ejemplo: Mandar un correo
a una persona
haciéndonos pasar por un familiar suyo que quiere hacerle una transferencia, y le pedimos el número de tarjeta de crédito o varios datos personales. Si la persona carece de conocimientos de seguridad, probablemente revele dicha información al atacante.
F Figura 1: Ejemplo de phishing.
En la imagen anterior vemos como un atacante envía un correo haciéndose pasar por un banco para que la víctima crea que se conecta al sitio web real y en realidad esté entregando las credenciales al atacante. Los diferentes métodos de ingeniería social se pueden clasificar en: Técnicas pasivas. Técnicas no presenciales. Técnicas presenciales no agresivas. Técnicas presenciales agresivas.
Esquema más detallado: Pasivas
Observación
No presenciales
Correo electrónico Teléfono Correo ordinario y fax
Presenciales no agresivas
TEMA 1 – Ideas clave
Hablar con la gente
© Universidad Internacional de La Rioja, S. A. (UNIR)
6
Análisis de Vulnerabilidades
Vigilancia Seguimiento Acreditaciones falsas Desinformación Presenciales agresivas
Suplantación de identidad Chantaje o extorsión Despersonalización (alcohol, drogas...) Presión psicológica
De los diferentes tipos el más utilizado es el no presencial, ya que suele ser bastante efectivo y no compromete directamente la identidad del atacante. Como se ha dicho antes, el correo electrónico se utiliza mucho con las técnicas de phishing. Algunas de ellas son: Suplantación identidad de alguna gran entidad o empresa (Apple, Google…), servicio del estado (correos, hacienda, la policía…), banco o página web… de la cual se desee obtener información. La página fraudulenta podrá recopilar las credenciales de las víctimas así. Incitar a abrir documentos o archivos infectados, ya sea por engaño haciéndolos pasar por documentos importantes, por información comprometida de la persona, publicidad engañosa… Como se suele decir: «En toda empresa siempre hay un Juan y una Sara que hacen clic a todo. Vacaciones en el Caribe gratis, clic; fotos de alguien famoso, clic». Muy usada también es la ingeniería social que se realiza hablando con la gente, que aunque sea más peligrosa para el atacante tiene grandes beneficios; casi siempre en toda empresa hay algún empleado descontento y encontrarlo puede ser una gran fuente de información o de penetración en la empresa. La ingeniería social depende de cada atacante y de cada situación. A veces solo hace falta preguntar al administrador de seguridad de la empresa en la que trabajas la IP del servidor FTP y te la dirá sin problemas, otras será necesario enviar spam masivo a todos los empleados de una empresa esperando que alguno haga clic en un enlace y
TEMA 1 – Ideas clave
© Universidad Internacional de La Rioja, S. A. (UNIR)
7
Análisis de Vulnerabilidades
otras sentarse al lado de la víctima esperando que introduzca su contraseña en el móvil para poder verla por encima del hombro. Como ya se ha dicho, la ingeniería social es un arte. Para evitar la ingeniería social no hay solución perfecta: se puede intentar reducir al máximo, pero las personas siempre serán objetivos fáciles para el engaño. Algunas medidas para reducir estas técnicas son: La mejor prevención de este tipo de técnicas es la concienciación de las personas de los temas relacionados con la seguridad: nunca compartir la contraseña (pues nadie debería pedírtela), no contar información de la empresa a gente externa a ella... Tener un servidor de correo electrónico interno que pueda filtrar el spam y no mezclar así correo personal con correo de trabajo. Tener poca o al menos bien organizada la descentralización en la empresa, es decir, tener bien definidos los segmentos a través de los cuales va a ser trasmitida la información hasta llegar al ejecutivo. Algunos ejemplos de ingeniería social son: El ejemplo más básico es el de dejar «olvidado» un USB en el suelo o en una mesa cercano al de la persona que queramos atacar. Probablemente, una persona sin conocimientos de informática lo que hará cuando lo vea será introducirlo en su ordenador para ver qué contiene. A partir de ahí se podrá usar tanto con USBs auto ejecutables, que al introducirlos son capaces de realizar acciones en segundo plano, como el Rubber Ducky USB, que actúa como un teclado externo y es capaz de ejecutar scripts como si el atacante tuviera el ordenador delante; o como algún archivo infectado que la víctima ejecute. Las personas son muy curiosas. Otro ejemplo es el de enviar un correo fraudulento a la víctima haciéndose pasar por su banco, alegando alguna actividad extraña o algún cargo realizado. El atacante puede enviar una página falsa a la víctima.
TEMA 1 – Ideas clave
© Universidad Internacional de La Rioja, S. A. (UNIR)
8
Análisis de Vulnerabilidades
Figura 2. Ejemplo de página web falsa. La primera es la web falsa y la segunda la original.
Es muy fácil hacer una copia del sitio web con el código HTML. La víctima introducirá sus credenciales en la página falsa y serán enviadas al atacante, después, alegando un error, la página mandará a la víctima a la página original para que se pueda registrar correctamente y no sospeche del robo. Otros casos como el anterior pueden darse en empresas como Apple, es decir, que de nuevo te pida credenciales; o como casos ocurridos hace un año en el que suplantando a Correos debías descargar un supuesto documento que, en realidad, era un archivo que cifraba tu disco duro. Este tipo de malware se llama Ransomware (secuestro del disco duro para pedir dinero a cambio de descifrarlo) pero sigue siendo un caso de ingeniería social.
TEMA 1 – Ideas clave
© Universidad Internacional de La Rioja, S. A. (UNIR)
9
Análisis de Vulnerabilidades
Figura 3. Ejemplo de phishing de correos.
Figura 4: Ejemplo de phishing de Apple.
Por último, pero no por ello menos peligroso, la ingeniería social persona a persona, ya sea por teléfono, por chats o en persona. En la actualidad, en internet podemos encontrar todo tipo de información referente a cualquier persona si sabemos buscar. Gracias a toda esta información un atacante puede ser capaz de asumir un rol para poder engañar a otra persona. Redes como Linkedin pueden darnos información del entorno de trabajo de una persona, Facebook puede darnos información de las costumbres, aficiones, familiares…
TEMA 1 – Ideas clave
© Universidad Internacional de La Rioja, S. A. (UNIR)
10
Análisis de Vulnerabilidades
Un ejemplo más específico de ingeniería social nos lo da Kevin Mitnick en su libro El arte de la intrusión, en el que ejemplifica como obtener los planes de marketing de una empresa: Llamada 1: El atacante llama a la oficina central de una empresa haciéndose pasar por una agencia de prensa y pide: el nombre del director de marketing para contactar con él, el fax de la recepción y algún nombre más de personas de otros departamentos. Llamada 2: El atacante vuelve a llamar y haciéndose pasar por un empleado nuevo en la oficina, utilizando los nombres que consiguió antes para crear el engaño pide hablar con el director de marketing. Una vez contactado con el director de marketing, alegando que no pueden acceder a los datos a causa de algún problema informático, pide que envíe los planes de marketing al fax de la oficina central a nombre de alguien inventado. Al ser un fax conocido y la otra persona parece que conoce a más gente del departamento (por los nombres que obtuvo al principio) el director no ve ningún problema y lo envía. Llamada 3: El atacante llama de nuevo a la oficina central haciéndose pasar por el nombre inventado anterior de una consultora externa, diciendo que ha habido un error y han enviado allí el fax con los planes de marketing y pide que se lo reenvíen ya que están a su nombre. Como el nombre es correcto y la persona conoce el asusto del fax, la recepcionista envía el fax sin problemas. Finalmente, el atacante se dirige a la copistería más cercana y recoge allí el fax con el plan de marketing de la compañía.
TEMA 1 – Ideas clave
© Universidad Internacional de La Rioja, S. A. (UNIR)
11
Análisis de Vulnerabilidades
Figura 5: Perfil de LinkedIn.
Como se puede apreciar, se pueden ver más de 500 contactos de una persona en la red LinkedIn, lo cual puede facilitar a un atacante la suplantación de identidad. SET Vamos a ver una herramienta de ingeniería social muy potente: SET (Social Engineer Toolkit). Es una suite dedicada a la ingeniería social que nos permite automatizar tareas que van desde clonar cualquier página web y poner en marcha un servidor para hacer phishing en cuestión de segundos hasta generar un código QR (los que se utilizan para escanear con el móvil) de cualquier URL para que cuando se escanee nos lleve a dicha URL o ejecute una applet maliciosa. SET integra muchas de las funciones de Metasploit, es más, muchas de las funciones de SET las saca de Metasploit. Por tanto, no se concibe SET sin previamente tener instalado Metasploit. Usaremos la distribución Kali Linux, que lleva preinstaladas estas dos herramientas, tanto SET como Metasploit. Para ejecutarla la buscaremos en el menú de Aplicaciones o escribiremos en línea de comando setoolkit.
TEMA 1 – Ideas clave
© Universidad Internacional de La Rioja, S. A. (UNIR)
12
Análisis de Vulnerabilidades
Figura 6: Menú principal de SET.
La pantalla principal nos da diversas opciones para ejecutar: la primera consiste en diferentes ataques de ingeniería social que explicaremos a continuación, la segunda en diversos ataques de exploit como inyecciones SQL para bases de datos, inyecciones de comandos en PowerShell (Windows)… y la tercera son módulos de ataque de terceras partes y el resto son opciones para actualizar o créditos y ayuda.
Figura 7: Menú de ataque de ingeniería social.
TEMA 1 – Ideas clave
© Universidad Internacional de La Rioja, S. A. (UNIR)
13
Análisis de Vulnerabilidades
Aquí explicaremos todos los ataques de ingeniería social: Spear-Phishing Attack Vectors: se utiliza para llevar a cabo ataques de correo electrónico dirigidos contra la víctima. Permite enviar emails de forma masiva o a un objetivo. También permite falsificar la dirección de email de emisor. Website Attack Vectors: es una forma única de utilizar múltiples ataques basados en Web con el fin de comprometer a la posible víctima. Es la más usada. Luego se explicarán con más detalle sus diferentes módulos. Infectious Media Generator: nos permite crear medios infectados, ya sea un USB, un CD o un DVD, con un archivo autorun.inf, con un payload de Metasploit que se ejecutará automáticamente si la opción de autorun está activada. Create a Payload and Listener: crea un payload de Metasploit y un servidor a la escucha del payload. Mass Mailer Attack: permite enviar emails de forma masiva o a una persona solo. Arduino-Based Attack Vector: utiliza un dispositivo Arduino para realizar el ataque, ya que estos dispositivos se conectan como teclados USB y se pueden saltar la protección de USBs autoejecutables. Carga un payload en el dispositivo. Wireless Access Point Attack Vector: se utiliza para la creación de un punto de acceso, un servidor DHCP y un servidor DNS falsos para redirigir el tráfico a la máquina del atacante y poder interceptar cada uno de los paquetes que viajan por la interfaz de red inalámbrica del atacante o para forzar a que ejecute una applet Java maliciosa. QRCode Generator Attack Vector: permite crear un código QR para una URL cualquiera, permitiendo generar uno para una applet Java maliciosa. PowerShell Attack Vectors: permite crear ataques específicos de PowerShell, una consola de Windows (a partir de Vista) más potente que la que se usa por defecto (cmd).
TEMA 1 – Ideas clave
© Universidad Internacional de La Rioja, S. A. (UNIR)
14
Análisis de Vulnerabilidades
Third Party Modules: son módulos de terceros como RATTE, que es igual que los ataques vía web pero ideal para saltarse Firewalls.
Figura 8: Menú de Website Attack Vector.
Dentro de la opción de Website Attack Vector encontramos diferentes módulos, cada uno con una técnica diferente de ataque de ingeniería social: Java Applet Attack Method: falsifica un certificado de java y carga un payload de Metasploit en un applet de java. Metasploit Browser Exploit Method: carga los exploits de la plataforma de Metasploit a través de una web creada o clonada. Credential Harvester Attack Method: clona una página web para capturar el nombre y contraseñas de esta. Tabnabbing Attack Method: se cargará la web maligna cuando el usuario cambie de pestaña en el navegador. Web Jacking Attack Method: da un aviso de que se ha movido de sitio la web y le redirige a una web falsa.
TEMA 1 – Ideas clave
© Universidad Internacional de La Rioja, S. A. (UNIR)
15
Análisis de Vulnerabilidades
Multi-Attack Web Method: permite hacer una combinación de diferentes ataques del menú de ataques web para probar de golpe si algún ataque es efectivo. Full Screen Attack Method: permite falsificar una web poniendo una captura de pantalla (a pantalla completa) en su lugar. El link será legítimo pero al hacer clic en él, desde una página maliciosa, llevará a la víctima a la captura de pantalla fraudulenta. Dependiendo de cada sistema operativo tendrá una captura u otra. Es usado para robar usuarios y contraseñas. Los siguientes enlaces son un vídeo tutorial de SET en tres partes, algunos módulos cambian por ser Backtrack Linux (la versión anterior de la distribución Kali Linux), pero los más importantes están. http://www.youtube.com/watch?v=wrzxcPAssOc http://www.youtube.com/watch?v=hNitGD8H4Zc http://www.youtube.com/watch?v=s00rkK42IM0
1.3. Footprinting La primera etapa que se debe realizar antes de efectuar un ataque es la búsqueda de información del objetivo para encontrar vulnerabilidades. Estas pueden ser de cualquier tipo, ya que la mínima vulnerabilidad puede desencadenar en otra hasta llegar a comprometer todo el sistema. Cuanto más grande es una empresa más fácil será encontrar alguna vulnerabilidad en ella. La búsqueda de información se divide, a su vez, en dos etapas: el footprinting y el fingerprinting. El footprinting consiste en la búsqueda de información pública del objetivo, es decir, recoger toda la información útil que esté publicada en Internet, ya sea a propósito o por desconocimiento. Esta búsqueda de información no se considera delito, ya que esta información es pública y además la entidad no debería detectarlo. Se buscará cualquier dato que nos sea de utilidad para poder lanzar posteriormente un ataque. En primer lugar, una vez tengamos elegido el objetivo, deberemos navegar por el sitio web de la organización y utilizar sus aplicaciones y servicios en busca de errores: enlaces olvidados a sitios que no deberían estar (sobre todo en sitios web TEMA 1 – Ideas clave
© Universidad Internacional de La Rioja, S. A. (UNIR)
16
Análisis de Vulnerabilidades
muy grandes) o en alguna llamada a la base de datos, ya que al hacer una consulta con algún parámetro incorrecto (algo mal escrito, referencias a tablas que no existen, intentar introducir datos en una tabla referenciada por otra con clave ajena…), la base de datos puede mostrar errores y devolver nombres de campos y de tablas, datos sensibles que pueden ser usados para una inyección SQL. Existe un mecanismo que utilizan algunas páginas web para que los buscadores como Bing o Google no indexen ciertas páginas de un sitio web en sus bases de datos. Es el llamado robots.txt, el cual se encuentra en la URL: www.nombredelapagina.com/robots.txt Si visitamos esa dirección en algunos sitios web podremos encontrar también una gran fuente de información, ya que se suele utilizar para poner las direcciones de páginas de administración del sitio o zonas restringidas de la entidad. Después deberemos descargarnos el código fuente del sitio web entero. Para ello usaremos la herramienta httrack en Windows o webhttrack para Linux o Mac OS X. Esta herramienta dispone tanto de modo de uso gráfico como en consola. Con ella podremos descargarnos todo el sitio web de una entidad: el código HTML de las páginas web, las imágenes, documentos y archivos que tenga e incluso todas las páginas a las que enlace. La herramienta se debe usar con precaución, pues permite la descarga simultánea de muchos objetos (imágenes, documentos, páginas…) y puede llegar a saturar la red si se realizan muchas conexiones al mismo tiempo. Una vez las descarguemos podemos realizar búsquedas en el código fuente buscando comentarios en los que el programador de la página haya puesto información sensible, como nombres de usuario y contraseñas por defecto, enlaces como los ya mencionados anteriormente o cuentas de correos y nombres reales El formato de un comentario HTML es: Estas búsquedas se pueden realizar mediante consola de comandos con órdenes como: cat *.html | grep contraseña o cat *.html | grep –A 3 “ Kali Linux > Husmeando / Envenenando > Envenenamiento de Redes > ettercap-graphical.
Figura 50: Herramienta Ettercap.
Para realizar el ARP Spoofing hay que seguir una serie de pasos: 1. Sniff > Unified sniffing y seleccionamos la interfaz. 2. Hosts > Scan for hosts para escanear los diferentes hosts de la red (sin incluir la máquina en la que está corriendo la aplicación). 3. Hosts > Hosts list para ver los hosts escaneados.
TEMA 1 – Ideas clave
© Universidad Internacional de La Rioja, S. A. (UNIR)
53
Análisis de Vulnerabilidades
4. Seleccionaremos el router como Target 1 y el host que queramos envenenar como Target 2. Si no elegimos ningún objetivo (target) envenenaremos a todos los hosts de la red.
Figura 51: Seleccionando objetivos.
5. Mitm > Arp poisoning. Nos aparecerán dos opciones, la que nos dice Only poison one-way, consistirá en que si está activada solo envenenará a la máquina víctima, es decir, que todas las peticiones que realice pasarán por la máquina atacante; si no está marcada, además envenenará al router, haciendo que también las respuestas pasen por la máquina atacante. Con estos pasos ya se habrá realizado el ARP Spoofing. Es necesario saber que una vez se termine de hacer el ataque de Mitm, habrá que establecer de nuevo correctamente las direcciones ARP, ya que la máquina víctima mandaría las peticiones a una dirección que no existe provocando una denegación de servicio. Para restaurar la tabla ARP de la víctima tendremos que pulsar Mitm > Stop mitm attack(s) y Start > Stop sniffing. Para Windows disponemos de una herramienta de ARP Spoofing llamada Cain & Abel.
Figura 52: Herramienta Cain & Abel.
TEMA 1 – Ideas clave
© Universidad Internacional de La Rioja, S. A. (UNIR)
54
Análisis de Vulnerabilidades
Para más información sobre esta herramienta y su descarga usar la página oficial: http://www.oxid.it/ Recordad que este tipo de ataques Mitm y ARP Spoofing generan mucho ruido, ya que interaccionamos mucho con la víctima.
1.5. Análisis de la información Una vez que hemos recabado la información debemos analizar y distinguir qué datos son importantes y cuáles no. A continuación se exponen los elementos más trascendentales: Nombres y apellidos de empleados: para intentar deducir el usuario del sistema operativo, las cuentas de correo (o cualquier otro servicio de autentificación), para poder utilizar las técnicas de ingeniería social que hemos visto en el primer capítulo, para generar un diccionario personalizado para ataques de fuerza bruta, para encontrar documentos o carpetas (como el home de un usuario), para intentar averiguar la contraseña… Emails: se pueden intentar utilizar para acceder remotamente a servidores o terminales en caso de que los nombres o una permutación de ellos coincidan. También se pueden usar para comprobar si tienen contraseñas por defecto o para realizar ingeniería social o phishing. Contraseñas: muchas veces se utiliza la misma contraseña en más de una ocasión, para diferentes servicios, por lo que se pueden usar para lanzar un ataque de fuerza bruta para autenticarnos en todos los servicios. Otros datos personales: como teléfonos, direcciones, fechas importantes… Para utilizarlos como contraseñas (y permutaciones de estas) o para realizar ingeniería social. Un sitio web o subdominio: se debe realizar una buena fase de footprinting para obtener información muy importante, como contraseñas olvidadas en los comentarios, enlaces a subdominios restringidos, carpetas con permisos de escritura… TEMA 1 – Ideas clave
© Universidad Internacional de La Rioja, S. A. (UNIR)
55
Análisis de Vulnerabilidades
Redes internas o externas (intranet/extranet): para obtener datos internos interesantes o para poder pivotar (ir pasando de una red a otra) a través de las redes y alcanzar objetivos concretos. Agentes externos o servicios de terceros: se pueden buscar contraseñas por defecto de terceros para poder acceder al objetivo (como los routers de diferentes ISP con contraseñas por defecto). Carpetas o archivos ocultos: que proporcionen datos o información del objetivo. Sucursales: buscar puntos intermedios en la infraestructura de la organización, para hacer ingeniería social de cualquier tipo. Servidores
o
nodos
en
zonas
desmilitarizadas
(DMZ):
intentar
comprometer estos servidores en zonas con pocas defensas de las organizaciones para intentar pivotar a través de ellos. Reglas del firewall o del IDS: para ser capaces de eludir estas reglas o evitar ser detectados por los IDS. Protocolos que utilice la organización: para planear el ataque y utilizar herramientas concretas. Puertos abiertos: para intentar obtener el sistema operativo, los servicios que están corriendo, buscar vulnerabilidades… Direcciones IP: tratar de realizar un mapa de la red de la organización para localizar objetivos concretos y fuentes de información. Antivirus: investigar los tipos de virus para que el motor de búsqueda no los detecte, para deshabilitar el antivirus, inutilizarlo, infectarlo… Aplicaciones y su versión: para buscar vulnerabilidades en ellas. Políticas internas: pues tienen información importante de la organización, como formato de contraseñas, horarios de uso de los dispositivos…
TEMA 1 – Ideas clave
© Universidad Internacional de La Rioja, S. A. (UNIR)
56
Análisis de Vulnerabilidades
En síntesis, la información previa al ataque, durante cualquiera de sus fases, es vital y muy relevante a la hora de realizar este ataque.
TEMA 1 – Ideas clave
© Universidad Internacional de La Rioja, S. A. (UNIR)
57
Análisis de Vulnerabilidades
Lo + recomendado Lecciones magistrales Google Hack En esta lección magistral se van a comentar brevemente los operadores básicos para la recolección de información a través del buscador de Google, para ello se expondrán varios ejemplos.
La clase magistral está disponible en el aula virtual.
No dejes de leer… OS Fingerprinting En el siguiente artículo veremos las técnicas desarrolladas hasta el día de hoy para averiguar el sistema operativo que se ejecuta en una máquina remota sin necesidad de tener acceso a la misma. Se tratarán además diversos métodos de los que dispone el administrador para evitar este tipo de problemas y modificar la apariencia de su sistema hacia el exterior. El artículo completo está disponible en el aula virtual o en la siguiente dirección web: http://blackspiral.org/docs/fingerprint.pdf
TEMA 1 – Lo + recomendado
© Universidad Internacional de La Rioja, S. A. (UNIR)
58
Análisis de Vulnerabilidades
No dejes de ver… Hacking A Mature Security Program Este vídeo es de una conferencia de David
Kennedy
presenta
la
la
que
herramienta
Engineering herramienta
en
social
Toolkit. para
nos Una
automatizar
ataques mediante el engaño. Entre sus funciones está preparar una web maligna,
enviar
correos
falsos,
generar documentos infectados. Accede al vídeo a través del aula virtual o desde la siguiente dirección web: http://www.youtube.com/watch?v=8CqhePNRqbk
La Jungla 4.0 Director: Len Wiseman. Reparto: Bruce Willis, Timothy Olyphant, Maggie Q, Justin Long, Jeffrey Wright, Mary Elizabeth Winstead, Cliff Curtis, Kevin Smith, Jonathan Sadowski, Andrew Friedman. País: Estados Unidos. Año: 2007. Género: Acción | Aventuras. Duración: 130 min. Existe una escena de ingeniería social (minuto 57) en el que Justin Long, interpretando a un hacker, convence a la operadora para encender el coche.
TEMA 1 – Lo + recomendado
© Universidad Internacional de La Rioja, S. A. (UNIR)
59
Análisis de Vulnerabilidades
¿Cuál es tu contraseña? En este vídeo podemos ver cómo, a través de ingeniería social, una periodista obtiene las contraseñas de la gente a la que entrevista en la calle simplemente preguntando por ellas.
Accede al vídeo a través del aula virtual o desde la siguiente dirección web: https://www.youtube.com/watch?v=opRMrEfAIiI
TEMA 1 – Lo + recomendado
© Universidad Internacional de La Rioja, S. A. (UNIR)
60
Análisis de Vulnerabilidades
+ Información A fondo Pentest: recolección de información El presente documento se encuentra dividido en dos partes. Por un lado, se detallan herramientas actualmente utilizadas para recopilar información de forma externa a la organización. En segundo lugar, durante la fase de Internal Footprinting se asume un entorno en el que el atacante tiene acceso parcial a la red interna y donde intentará de nuevo conseguir la mayor cantidad de información posible para seguir escalando su ataque a otros equipos dentro de la organización. El artículo está disponible en el aula virtual o en la siguiente dirección web: http://cert.inteco.es/extfrontinteco/img/File/intecocert/EstudiosInformes/cert_inf_s eguridad_information_gathering.pdf
Sabuesos en la red En este artículo se detallan las técnicas de escaneo de puertos. El artículo está disponible en el aula virtual o en la siguiente dirección web: http://houdini-hck.netai.net/Lecciones/Sabuesos%20en%20la%20Red.pdf
TEMA 1 – + Información
© Universidad Internacional de La Rioja, S. A. (UNIR)
61
Análisis de Vulnerabilidades
Webgrafía Flu-project Página web donde podemos encontrar información diversa sobre la seguridad informática.
http://www.flu-project.com/
The hacker way Página web en la se publican técnicas de hacking.
http://thehackerway.com/
Bibliografía Calles, J.A. y González, P. (2011). La biblia del footprinting. flu-proyect.com. Recuperado
de
http://la-biblia-del-
footprinting.googlecode.com/files/La_Biblia_del_Footprinting.pdf
González, P. (2014). Ethical Hacking. Teoría y práctica para la realización de un pentesting. 0xWORD. Long, J. (2005). Hacking con Google. Madrid: Ediciones Anaya Multimedia.
TEMA 1 – + Información
© Universidad Internacional de La Rioja, S. A. (UNIR)
62
Análisis de Vulnerabilidades
Mitnick, K.D. & Simon, W.L. (2008). El arte de la intrusión. Cómo ser un hacker o evitarlos. Ra-Ma. Tori,
C.
(2008).
Hacking
ético.
Recuperado
de:
https://docs.google.com/file/d/0B6pfLOBKiNlpc3FhVmxCMUpWZ2M/edit?pli=1 VV. AA. (2011). Seguridad informática. Ethical Hacking. Conocer el ataque para una mejor defensa. Barcelona: Ediciones ENI.
TEMA 1 – + Información
© Universidad Internacional de La Rioja, S. A. (UNIR)
63
Análisis de Vulnerabilidades
Actividades Realizar un ataque de phising Descripción de la actividad En esta actividad se deben explicar los pasos para realizar un ataque de phishing con la distribución de Kali desde una máquina virtual a un ordenador con Windows. Se debe efectuar el ataque realizando la clonación de la página web de Facebook, utilizando las herramientas SET y Metasploit para cargar un Java Applet en un ordenador con Windows. Se valorará que se incluyan imágenes (como capturas de pantalla) y se ponga el nombre del alumno en ellas (para confirmar su autoría). Extensión máxima: 15 páginas (Georgia 11 e interlineado 1,5).
TEMA 1 – Actividades
© Universidad Internacional de La Rioja, S. A. (UNIR)
64
Análisis de Vulnerabilidades
Test 1. Una técnica para encontrar vulnerabilidades es el denominado footprinting que tiene por objeto: A. Búsqueda de datos públicos en Internet. B. Paso previo a la intrusión en un sistema operativo. C. Suplantar una identidad o phishing. D. Averiguar la versión del sistema operativo. 2. Google Hack es conocido como un método para hacer búsquedas avanzadas y conseguir mejores resultados, pero también puede ser utilizado como forma de: A. Encontrar páginas que tras ser probadas han quedado cacheadas en Google. B. Llevar a cabo footprinting. C. Método para buscar informaciones confidenciales y personales. D. Todas las anteriores son correctas. 3. Encuentra dentro de las siguientes sentencias cuál es la correcta: A. Intitle reconoce como término de búsqueda aquel que está detrás de los dos puntos. B. Intitle puede dar fallos al ser utilizado conjuntamente con otros operadores. C. Intitle y link sirven para encontrar un dominio o sitio concreto. D. Intitle puede ser sustituido por varios operadores inurl para que su funcionamiento sea óptimo. 4. La técnica de DNS Snooping consiste en: A. Falsificar las DNS para redirigir al sitio que el atacante quiera. B. Falsificar las DNS para realizar consultas a través de un proxy. C. Obtener información de las DNS con una consulta recursiva. D. Obtener información de las DNS con una consulta no recursiva.
TEMA 1 – Test
© Universidad Internacional de La Rioja, S. A. (UNIR)
65
Análisis de Vulnerabilidades
5. Indica cuál de las siguientes sentencias es incorrecta: A. La ingeniería social puede realizarse de manera telefónica o incluso de forma personal. B. La ingeniería social puede venir ocasionada por el contacto con algún familiar o amigo. C. Una medida para evitar engaños es tener centralizada la organización. D. La ingeniería social puede afectar tanto a particulares como a organizaciones. 6. Indica cuál de estas funciones no realiza Maltego: A. Busca correos electrónicos de una persona u organización. B. Crea mapas de información. C. Busca puertos abiertos en una máquina remota. D. Obtiene información sobre las DNS. 7. A qué no consideramos información útil a la hora de realizar un proceso de footprinting y fingerprinting: A. Puertos UDP abiertos en una máquina. B. Hora de la última modificación de un documento. C. Versión del antivirus. D. Apodo del usuario que creo un documento. 8. Respecto a los diferentes tipos de escaneos de puertos con Nmap. Indica cual no es correcto: A. El escaneo TCP XMAS manda un paquete con tres flag a 1. B. El escaneo TCP IDLE requiere de una máquina zombi. C. El ataque TCP ACK es el más utilizado. D. El ataque TCP NULL solo detecta puertos cerrados. 9. El ataque de banner es: A. Conseguir que un servidor DNS nos transfiera todo su contenido. B. Hacer una pequeña consulta HTTP a un sitio web para obtener la cabecera. C. Hacer una denegación de servicio mediante Spam. D. Un tipo de técnica de phishing que consiste en mandar Spam dirigido a la víctima.
TEMA 1 – Test
© Universidad Internacional de La Rioja, S. A. (UNIR)
66
Análisis de Vulnerabilidades
10. Indica de entre las siguientes sentencias cuál es la correcta: A. The Harvester permite buscar correos electrónicos. B. Ettercap es un programa que realiza escaneos de puertos. C. Anubis es un programa que actúa como sniffer de paquetes. D. Ubuntu es una distribución GNU/Linux diseñada para la auditoría de seguridad y relacionada con la seguridad informática en general.
TEMA 1 – Test
© Universidad Internacional de La Rioja, S. A. (UNIR)
67
View more...
Comments