Indice general

I Preliminares 3
5

1. Recomendaciones

II

Pr acticas
. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .

7
9 9 9 9 10 10 12 14 15 15 15 16 17 18 25 27 27 27 27 28 28 30 33

1. Nmap: rastreador de paquetes 1.1. Introducci on: . . . . . . . . . 1.2. Objetivo: . . . . . . . . . . . . 1.3. Instalaci on: . . . . . . . . . . 1.4. Conceptos importantes: . . . . 1.5. Metodolog a: . . . . . . . . . 1.6. Pr actica propuesta: . . . . . . 1.7. Recomendaciones: . . . . . . .

2. NESSUS: Vulnerabilidades en los puertos 2.1. Introducci on: . . . . . . . . . . . . . . . . 2.2. Objetivo: . . . . . . . . . . . . . . . . . . . 2.3. Instalaci on: . . . . . . . . . . . . . . . . . 2.4. Conceptos importantes: . . . . . . . . . . . 2.5. Metodolog a: . . . . . . . . . . . . . . . . 2.6. Recomendaciones: . . . . . . . . . . . . . . 3. SET: Ataques de elemento 3.1. Introducci on: . . . . . . 3.2. Objetivo: . . . . . . . . . 3.3. Instalaci on: . . . . . . . 3.4. Conceptos importantes: . 3.5. Metodolog a: . . . . . . 3.6. Pr actica propuesta: . . . 3.7. Recomendaciones: . . . . humano . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 1

. . . . . .

. . . . . .

. . . . . .

. . . . . .

. . . . . .

. . . . . .

. . . . . .

. . . . . .

. . . . . .

. . . . . .

. . . . . .

. . . . . . .

. . . . . . .

. . . . . . .

. . . . . . .

. . . . . . .

. . . . . . .

. . . . . . .

. . . . . . .

. . . . . . .

. . . . . . .

. . . . . . .

. . . . . . .

. . . . . . .

. . . . . . .

. . . . . . .

2 4. SSLSTRIP 4.1. Introducci on: . . . . . . 4.2. Objetivo: . . . . . . . . . 4.3. Instalaci on: . . . . . . . 4.4. Conceptos importantes: . 4.5. Metodolog a: . . . . . . 4.6. Pr actica propuesta: . . . 4.7. Recomendaciones: . . . . 5. Computo Forense: Imagen 5.1. Introducci on: . . . . . . 5.2. Objetivo: . . . . . . . . . 5.3. Instalaci on: . . . . . . . 5.4. Conceptos importantes: . 5.5. Metodolog a: . . . . . . 5.6. Pr actica propuesta: . . . 5.7. Recomendaciones: . . . .

INDICE GENERAL 35 35 35 35 36 37 40 40 43 43 43 43 44 44 47 48

. . . . . . .

. . . . . . .

. . . . . . .

. . . . . . .

. . . . . . .

. . . . . . .

. . . . . . .

. . . . . . .

. . . . . . .

. . . . . . .

. . . . . . .

. . . . . . .

. . . . . . .

. . . . . . .

. . . . . . .

. . . . . . .

. . . . . . .

. . . . . . .

. . . . . . .

. . . . . . .

. . . . . . .

forense . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .

. . . . . . .

. . . . . . .

. . . . . . .

. . . . . . .

. . . . . . .

. . . . . . .

. . . . . . .

. . . . . . .

. . . . . . .

. . . . . . .

. . . . . . .

. . . . . . .

. . . . . . .

. . . . . . .

. . . . . . .

. . . . . . .

Parte I Preliminares

1 Recomendaciones para el desarrollo de las pr acticas

1.1 Equipo necesario
Para el desarrollo de las pr acticas de laboratorio es necesario tener instalado como sistema operativo Linux(Ubuntu/Debian/Backtrac). Este manual de pr acticas esta basado en Backtrac, ya que por default cuenta con todos los paquetes necesarios que se usan en cada pr actica de este manual, sin embargo se agregan las p aginas de descarga e instalaci on de los paquetes para las otras dos versiones de Linux (Ubuntu y Debian), para que no haya problemas si el usuario no las tiene instaladas.

Parte II Pr acticas

Pr actica 1 Nmap: rastreador de paquetes

1.1. Introducci on:

Nmap (mapeador de redes) es una herramienta de c odigo abierto para exploraci on de red y auditoria de seguridad. Se dise no para analizar r apidamente grandes redes, aunque funciona muy bien contra equipos individuales. Nmap utiliza paquetes IP crudos en formas originales para determinar qu e equipos se encuentran disponibles en una red, qu e servicios (nombre y versi on de la aplicaci on) ofrecen, qu e sistemas operativos (y sus versiones) ejecutan, qu e tipo de ltros de paquetes o corta-fuegos se est an utilizando, as como docenas de otras caracter sticas.

1.2.

Objetivo:

El objetivo es que despu es de esta pr actica el alumno sea capaz de realizar auditorias de seguridad. Realizar tareas rutinarias como el inventariado de una red, planicaci on de actualizaci on de servicios y la monitorizaci on del tiempo que los equipos o servicios se mantienen activos. Adem as del uso de la resoluci on inversa, pues se podr a conocer un listado de IPs, sistemas operativos, tipos de dispositivos y direcciones MAC1 que se encuentran conectados a los puertos de nuestra computadora o red.

1.3.

Instalaci on:

Ubuntu/Debian: sudo apt-get install nmap 9

10

PRACTICA 1. NMAP: RASTREADOR DE PAQUETES

1.4.

Conceptos importantes:

Puerto: Un puerto es una zona en la que dos ordenadores (hosts) intercambian informaci on. Servicio: Un servicio es el tipo de informaci on que se intercambia con una utilidad determinada como ssh o telnet. Firewall: Un Firewall acepta o no el traco entrante o saliente de un ordenador. Paquetes SYN: As por encima, pueden ser paquetes que abren un intento de establecer una conexi on TCP. Debemos tener en cuenta que para Nmap un puerto puede estar de tres maneras: 1. Open: el puerto es accesible y hay un demonio escuchando. 2. Closed: el puerto es accesible pero no hay un demonio escuchando. 3. Filterd: el puerto no es accesible, un rewall ltra el puerto.

1.5.

Metodolog a:

Existen una innidad de comandos para el uso de Nmap. La instrucci on b asica para su uso es con el comando nmap seguido de la IP o dominio:

Figura 1.1: Comando nmap seguido de mi IP. Como lo muestra la gura 1.1, el uso es tan simple que solo nos devuelve los puertos que est an abiertos. As , dependiendo de la IP que se escanee,

1.5. METODOLOG IA:

11

puede que nos bloquee el escaneo si solo lo hacemos de esta manera. Por tal motivo, se le agrega el comando -sS a la instrucci on anterior, que nos permite hace un escaneo m as discreto y sin dejar registros en el sistema:

Figura 1.2: Comando nmap seguido de la opci on -sS y mi IP Cabe mencionar que adem as de los comandos usados, como lo muestra la gura 1.2, existen varios tipos de modicadores para el escaneo, pero lo importante es lograr identicar la combinaci on m as apropiada para el tipo de an alisis que queremos realizar. Algunos modicadores que se pueden utilizar son los siguientes: sT: se intenta hacer un barrido de puertos por TCP. La ventaja de esta t ecnica es que no requiere usuarios privilegiados, opuesto a sS. sU: se intenta hacer un barrido de puertos por UDP. Es u til cuando se intentan descubrir puertos de nivel superior que pueden estar detr as de un Firewall, lenta pero permite hacer auditorias mas exactas. SA: se usan mensajes de ACK para lograr que el sistema responda y as determinar si el puerto esta abierto. Algunos Firewall no ltran estos mensajes y por ello puede ser efectivo en algunos casos. SX: puede pasar algunos Firewall con malas conguraciones y detectar servicios prest andose dentro de la red. sP: este modicador ayuda a identicar que sistemas est an arriba en la red (en funcionamiento), para luego poder hacer pruebas mas especicas, similar a Ping.

12

PRACTICA 1. NMAP: RASTREADOR DE PAQUETES SV: intenta identicar los servicios por los puertos abiertos en el sistema. Esto permite evaluar cada servicio de forma individual para intentar ubicar vulnerabilidades en los mismos. SO: con esta opci on se identica que protocolos de nivel superior a capa tres (Red o Network), responden en el sistema, de esta manera es m as f acil saber las caracter sticas de la red o el sistema que se intenta evaluar.

Adicionalmente a las opciones de escaneo, se pueden especicar opciones que permiten explotar m as aun la herramienta. Dentro de las opciones que m as frecuentemente se usan, est an las de evitar el Ping o mostrar todos los resultados en pantalla al m aximo detalle, veamos cuales son estas opciones: b: Para determinar si la victima es vulnerable al bounce attack. n: no hace conversiones DNS para hacer el -sP m as r apido. vv: hacer la salida de la herramienta detallada en pantalla. f: habilita la fragmentaci on, de esta forma es mucho mas complejo para un un Firewall u otro tipo de sistema lograr hacer el rastreo. ON: redirige la salida a un archivo. oX: redirige la salida a un archivo XML: stylesheet: con esta opci on se usa una hoja de estilo que hace mas f acil la lectura de la salida en XML. PO: indica que no se debe hacer ping a los sistemas objetivo, antes de iniciar el an alisis u til, para evitar el bloque en algunos Firewall. p: se usa para especicar puertos de an alisis o rango de puertos. T: se usa para especicar la velocidad general del escaneo, de esta forma se puede pasar inadvertido en algunos sistemas que detectan la velocidad de los paquetes entrantes.

1.6.

Pr actica propuesta:

Resumen de comandos:

 1.6. PRACTICA PROPUESTA: 1. Obtener informaci on de un host remoto y detecci on del SO: nmap -sS -P0 -sV -O [direcci on]

13

-sS =escaneo TCP SYN (o escaneo sigiloso) -P0 =no se env an pings ICMP -sV =detecta las versiones -O =se intenta identicar el Sistema Operativo Otras opciones: -A =habilita OS ngerprinting y detecci on de versi on -v =usar dos veces -v para obtener mas detalles 2. Listar servidores con un puerto especico abierto: nmap -sT -p 80 -oG 192.168.1.* grep open Cambiar el argumento -p por el numero del puerto. 3. Detectar IPs activas en una red: nmap -sP 192.168.0.* Otra opci on para subnets es: nmap -sP 192.168.0.0/24 4. Hacer ping a un rango de IPs: nmap -sP 192.168.1.100-254 Nmap acepta una gran variedad de rangos, notaci on de direcciones, objetivos m ultiples, etc. 5. Encontrar IPs no usadas en una subnet: nmap -T4 -sP 192.168.2.0/24 && egrep 00:00:00:00:00:00 /proc/net/arp 6. Escanear en busca del virus Concker: nmap -PN -T4 -p139,445 -n -v script=smb-check-vulns script-args safe=1 192.168.0.1-254 Reemplazar 192.168.0.1-254 con las IPs que se quiere escanear. 7. Escanear red en busca de AP falsos: nmap -A -p1-85,113,443,8080-8100 -T4 min-hostgroup 50 max-rtttimeout 2000 initial-rtt-timeout 300 max-retries 3 host-timeout 20m max-scan-delay 1000 -oA wapscan 10.0.0.0/8 Funciona incluso en grandes redes. 8. Crear un se nuelo durante el escaneo de puertos para evitar ser detectado: sudo nmap -sS 192.168.0.10 -D 192.168.0.2

14

PRACTICA 1. NMAP: RASTREADOR DE PAQUETES Escanea los puertos del nodo 192.168.1.10 mientras spoofea la IP 192.168.0.2 como nodo atacante (esta IP debe estar activa) as parecer a que el escaneo se ejecuta desde la IP192.168.0.2 (la ip spoofeada). Comprobar los logs en /var/log/secure para comprobar si ha funcionado correctamente. 9. Listar los registros DNS inversos de una subred: nmap -R -sL 209.85.229.99/27 awk if(3 == not)print(\2 ) no PTR;else print3 is\2 grep ( Este comando hace un reverse DNS lookup en una subred, se crea una lista con las direcciones IP de los registros PTR en la subred indicada. Se puede insertar la subred en notaci on CDIR (ejemplo: /24 para la Clase C). Puedes agregar -dns-servers x.x.x.x despu es del par ametro -sL si quieres realizar el listado sobre un servidor DNS especico.

10. Cu antos nodos con Linux y cu antos con Windows hay en una red: sudo nmap -F -O 192.168.0.1-255 grep Running: > /tmp/os; echo (cat/tmp/os|grepLinux|wcl)Linuxdevice(s); echo\(cat /tmp/os grep Windows wc -l) Window(s) devices

1.7.

Recomendaciones:

Nmap trabaja con una serie de instrucciones, que dependiendo de cuales sean estas, recaba la informaci on solicitada sobre los equipos conectados, los tipos de servicio, etc etera. De esta manera en la secci on anterior, la de ejercicios, est an recopilados las instrucciones que m as pueden servir al administrador de una red, para cuando necesite hacer un an alisis profundo del area de trabajo.

Pr actica 2 NESSUS: Vulnerabilidades en los puertos

2.1. Introducci on:

Nessus (versi on 5.02), es un programa de escaneo de vulnerabilidades que se encuentra disponible para distintos sistemas operativos. Consiste en un servicio o programa, llamado com unmente Daemon, que se ejecuta en segundo plano y que por tanto no es controlado por el usuario, de tal manera que este realiza un escaneo del sistema e informa sobre el estado en el que se encuentra. Desde la consola de Nessus se pueden programar los escaneos por medio de un cron, que es un administrador de procesos en segundo plano, es decir que ejecuta procesos de segundo plano en un intervalo de tiempo. Ya en actividad el Nessus comienza con escaneando los puertos con NMAP, el cual sirve para efectuar rastreo de puertos, descubriendo servicios o servidores en una red inform atica. El resultado de las pruebas de vulnerabilidad, son escritas en NASL (Nessus Attack Scripting Language), un lenguaje scripting optimizado para interacciones personalizadas en redes.

2.2.

Objetivo:

El objetivo de esta pr actica es que el alumno sea capaz de hacer sus propias y correctas pol ticas de escaneo, adem as de que despu es de efectuado el an alisis por parte del programa, sepa eliminar o minimizar las vulnerabilidades en esos puertos. 15

 16 PRACTICA 2. NESSUS: VULNERABILIDADES EN LOS PUERTOS

2.3.

Instalaci on:

Ubuntu/Debian:

1. Descargar el paquete de instalaci on Nessus correspondiente: http://www.tenable.com/pr download-agreement 2. Una vez aceptada la licencia, descargamos el producto adecuado a nuestra arquitectura y sistema operativo, en este caso Ubuntu, arquitectura 32 bits, pero las instrucciones son las mismas para la arquitectura 64 bits. 3. Instalamos Nessus: dpkg -i Nessus-5.0.2-ubuntu1110 i386.deb 4. A nadimos usuario: /opt/nessus/sbin/nessus-adduser 5. Nos pide el login y contrase na para comprobar que somos administradores. 6. Es necesario instalar unos plugins, asi que ponemos armativo a la pregunte: a ) Do you want this user to be a Nessus admin user ? (can upload plugins, etc...) (y/n) [n]: Y b ) This user will have admin privileges within the Nessus server Rules : Is that ok ? (y/n) Y 7. Ahora vamos al siguiente link: http://www.tenable.com/products/nessus/nessushomefeed 8. Aceptamos los t erminos de uso, gratis para uso personal. Nos registramos y se nos enviar a al correo un c odigo de activaci on.Registramos Nessus y autom aticamente se actualizaran los plugins: /opt/nessus/bin/nessusfetch register your activation code 9. Una vez terminada la actualizaci on, reiniciamos el servicio: /etc/init.d/nessusd restart 10. Ejecutamos en terminal: refox https://localhost:8834 11. Ahora solo esperemos a que se termine de iniciar el servicio. Este puede tardar algo de tiempo (ver gura 2.1), aproximadamente 1 hora:

2.4. CONCEPTOS IMPORTANTES:

17

Figura 2.1: Nessus inicializ andose

2.4.

Conceptos importantes:

Credenciales de Windows: Son aquellas que nos permiten almacenar datos como como nombres de usuarios y contrase nas que se usan para iniciar sesi on en sitios web o en otros equipos de una red. Mediante el almacenamiento de credenciales, Windows nos permite iniciar sesi on autom aticamente en sitios web o en otros equipos. Las credenciales se guardan en carpetas especiales del equipo llamadas almacenes. Windows y determinados programas (como los exploradores web) pueden proporcionar con seguridad las credenciales de los almacenes a otros equipos y sitios web. Protocolo: Dentro de las redes inform aticas se conoce bajo el nombre de protocolo al lenguaje, que es un conjunto de reglas formales, que permiten la comunicaci on de distintas computadoras entre s . Dentro de las distintas redes, como Internet, existen numerosos tipos de protocolos, entre ellos:TPC/IP, TCP (Transmision Control Protocol), HTTP (Hypertext Transfer Protocol), FTP (File Transfer Protocol), SSH (Secure Shell), UDP (User Datagram Protocol), SNMP (Simple Network Management Protocol), TFTP (Trivial File Transfer Protocol), SMTP (Simple Mail Transfer Protocol), ARP (Address Resolution Protocol). Protocolo Samba:Samba es una implementaci on para Linux del protocolo SMB (Server Message Block), con el que podremos acceder (por TCP/IP) a servidores SMB como cliente, o montar un servidor SMB propio. Con Samba podemos hacer b asicamente cuatro operaciones: 1. Compartir una unidad Linux con m aquinas Windows 2. Compartir una unidad Windows con m aquinas Linux 3. Compartir una impresora Linux con m aquinas Windows

 18 PRACTICA 2. NESSUS: VULNERABILIDADES EN LOS PUERTOS 4. Compartir una impresora Windows con m aquinas Linux

2.5.

Metodolog a:

Con la aplicaci on ya inicializada, nos sale un cuadro para loguearnos:

Figura 2.2: Cuadro para loguearse en Nessus Ya logueados, lo primero que se debe hacer es ir a la pesta na de Pol ticas (Policies). Ah existen unas pol ticas que pudi esemos elegir por default, sin embargo nosotros a nadimos una nueva pol tica:

Figura 2.3: Nueva pol tica

2.5. METODOLOG IA: Primero le damos un nombre a nuestra pol tica:

19

Figura 2.4: Conguraci on general de las pol ticas Rellenamos las credenciales de Windows, que nos permite guardar a los usuarios y contrase nas, de unidades Linux por medio del protocolo SAMBA (SMB):

Figura 2.5: Pol ticas de las credenciales Elegimos los plugins con los cuales queremos realizar el escaneo. Hay distinta variedad para cada sistema operativo, adem as de poder actualizarlos:

 20 PRACTICA 2. NESSUS: VULNERABILIDADES EN LOS PUERTOS

Figura 2.6: Conguraci on en las pol ticas de los plugins En Preferencias (Preferences), se puede modicar el login, cambio el escaneo de los puertos, entre otras muchas cosas:

Figura 2.7: Conguraci on de las pol ticas Guardamos la pol tica dando presionando el bot on Update de la parte de abajo.

2.5. METODOLOG IA:

21

Con la pol tica agregada, vamos a la pesta na de Scans y agregamos un nuevo escaneo:

Figura 2.8: Nueva pol tica Primero le damos un nombre a nuestro escaneo, elegimos la pol tica que hicimos anteriormente, eligi endola del men u despegable. En el cuadro Scan target colocamos el host o IP a escanear, en este caso coloco mi IP. Ahora solo presionamos el bot on Create Scan:

Figura 2.9: Nuevo escaneo Ahora tenemos nuestro escaneo corriendo,con las caracter sticas que hemos asignado. El tiempo que durara el escaneo depender a de la cantidad de plugins que hayamos elegimos al crear nuestra pol tica:

 22 PRACTICA 2. NESSUS: VULNERABILIDADES EN LOS PUERTOS

Figura 2.10: Escaneo ejecut andose Cuando ha terminado de hacer el proceso, pasamos a la pesta na Results, ah se encontrara la operaci on con los datos que obtuvo despu es del escaneo de los puertos:

Figura 2.11: Host escaneado Como lo muestra la gura 2.11, solo aparece 1 host, esto es porque solo introdujimos una IP. El numero 8, que aparece en esa misma gura, corresponde al numero de puertos que tiene alg un tipo de vulnerabilidad. En la pesta na Vulnerabilities aparecen las caracter sticas de cada uno de esos puertos escaneados:

2.5. METODOLOG IA:

23

Figura 2.12: Sumario de puertos Un puerto en espec co contiene lo siguiente:

Figura 2.13: Sumario de puertos

 24 PRACTICA 2. NESSUS: VULNERABILIDADES EN LOS PUERTOS

Figura 2.14: Sumario de puertos

Como lo muestran las guras 2.13 y 2.14, Nessus nos proporciona datos importantes sobre el puerto. Descripci on de la vulnerabilidad, una posible soluci on (si es que la hay), el plugin correspondiente que hizo el escaneo, el numero de puerto y que tanto riesgo hay al dejar la vulnerabilidad tal como esta. Para terminar se debe mencionar que el resultado del an alisis se puede exportar a un archivo como es el NAST, HTML, entre otros seg un queramos:

Figura 2.15: Sumario de puertos

2.6. RECOMENDACIONES:

25

2.6.

Recomendaciones:

En mi opini on, no hay mejores ni peores pol ticas de seguridad para realizar escaneos con la herramienta Nessus. Todo depende al principio del sentido com un y poco a poco de la experiencia. No es nada dif cil utilizar la herramienta Nessus, pero la diferencia entre un buen auditor/penterster y uno que hace las cosas sin pensar, es que el primero sabe como anar las reglas a buscar mucho m as que el segundo. El segundo se limitar a a activarlo todo y ya est a, el primero sacar a de su experiencia y sabr a las reglas a habilitar. La parte del sentido com un no es marcarlo todo por defecto, si no por ejemplo, si no hay servicios ftp o smtp levantados, no tiene sentido buscar vulnerabilidades en ellos. Si hemos hecho una buena investigaci on previa y conocemos versiones de software instaladas, centrarnos en la que est en desfasadas, o en alguna que tenga vulnerabilidades conocidas, cosas de este estilo. No hacer escaneados a ciegas, investigar un poco antes el tipo de software. Podemos hacer un escaneo con todo los plugins a una solo IP como la que tiene asignada nuestro computador, pero imag nate hacer un escaneo a cientos de maquinas al mismo tiempo. Algo realmente tardado e innecesario, no crees? Creo que nadie puede sacar una formula m agica de que tipo de pol tica usar siempre, pero poco a poco con el tiempo se va anando la forma de hacer buenas pol ticas para los escaneos.

 26 PRACTICA 2. NESSUS: VULNERABILIDADES EN LOS PUERTOS

Pr actica 3 SET: Ataques de elemento humano

3.1. Introducci on:

Es una suite desarrollada en Python (programado por David Kennedy), que consta de herramientas espec camente dise nadas para realizar ataques al elemento humano, usando como m etodo la Ingenier a Social en procesos de auditoria en seguridad (Pentesting).

3.2.

Objetivo:

Que el alumno sea capaz de identicar esas p aginas que roban informaci on condencial (nombres, direcciones, nombres de usuario, contrase nas, etc.), todo, al hacerse pasar por otras p aginas. De esta manera el alumno aprender la forma en que trabajan dichas p aginas y la forma de evitarlas.

3.3.

Instalaci on:

Los pasos para instalar SET son los siguientes: 1. Ejecutar en terminal: vn co https://github.com/trustedsec/social-engineertoolkit.git set/ 2. Despu es que se descargue ingresamos a la carpeta de SET, la cual est a en la carpeta personal: cd set 3. Ahora nos tendremos que loguearnos como root y tecleamos en la carpeta de set: python setup.py install 27

28

PRACTICA 3. SET: ATAQUES DE ELEMENTO HUMANO 4. Despu es tecleamos (estando como root en la carpeta de set): ./set 5. Nos salen los t erminos y conciones de uso. Presionamos la tecla Y seguido de la tecla Enter para continuar.

3.4.

Conceptos importantes:

Python: Es un lenguaje de scripting independiente de plataforma y orientado a objetos, preparado para realizar cualquier tipo de programa, desde aplicaciones Windows a servidores de red o incluso p aginas web. Es un lenguaje interpretado, lo que signica que no se necesita compilar el c odigo fuente para poder ejecutarlo, lo que ofrece ventajas como la rapidez de desarrollo e inconvenientes como una menor velocidad. Ingenier a social: El t ermino ingenier a social hace referencia al arte de manipular personas para eludir los sistemas de seguridad. Esta t ecnica consiste en obtener informaci on de los usuarios por tel efono, correo electr onico, correo tradicional o contacto directo. URL (Uniform Resource Locator-Localizador Uniforme de Recursos): Es una direcci on que permite acceder a un archivo o recurso como ser p aginas html, php, asp o archivos gif, jgp,etc.

3.5.

Metodolog a:

Iniciando la aplicaci on nos sale el siguiente men u y de cuyas opciones elegiremos la de Social-Engineering attacks:

Figura 3.1: Men u de la aplicaci on SET.

3.5. METODOLOG IA:

29

Como lo muestra la gura 3.2, podemos ver que ofrece opciones muy variadas desde la creaci on de correos fraudulentos hasta enviar mensajes de texto que ayuden en nuestro ataque.

Figura 3.2: Opci on 2, Website Attack Vectors. A continuaci on veremos algunas de las principales opciones del SET: Sistema de Phishing Este sistema es bastante completo. Permite la creaci on autom atica de un sitio web falso para enga nar al destinatario. Tambi en se pueden enviar correos masivos con archivos adjuntos maliciosos. Creaci on de medios infectados Permite crear el chero autorun.inf y un payload de Metasploit. Al insertar el medio, sea este CD/DVD/USB se ejecutar a autom aticamente y posteriormente nos dar a acceso a la m aquina afectada. Falsicaci on de mensajes de texto (SMS) Esta es una de las opciones m as interesantes y ecientes del SET, pues nos permite enviar mensajes de texto (SMS) falsos, suplantando el n umero telef onico del remitente, lo cual ayuda a la hora de hacerle creer al receptor que efectivamente ha sido enviado por esa persona o empresa. Adem as incluye la opci on para el env o masivo de SMS sin problema. Las empresas prestadoras

30

PRACTICA 3. SET: ATAQUES DE ELEMENTO HUMANO del servicio de env o de mensajes son: SohoOS, Lleida.net, SMSGANG. La u nica gratuita es SohoOS, y debido a esa caracter stica en el mayor de los casos es limitada. Interfaz Web Esta versi on de SET ha integrado una fant astica interfaz web para lanzar cualquier tipo de ataque de una manera m as c omoda e intuitiva.

3.6.

Pr actica propuesta:

Iniciaremos con un primer ejercicio. Elegimos del men u principal SocialEngineering attacks t luego Website attack vectors (ver guras 3.1 y 3.2). El tipo de ataque elegido en la gura 3.2, se trata de los vectores de ataque mejor elaborados, robustos y con mayores probabilidades de exito que se han desarrollado en SET debido a que son espec camente dise nados para construir sitios web cticios que son incitantes y cre bles para el objetivo, adem as cuentan con t ecnicas bastante elaboradas que permiten que un objetivo sea v ctima sin enterarse tan siquiera que ha sido enga nado. Ahora del siguiente men u, elegimos la opcion 3, Credential Harvester Attack Method:

Figura 3.3: Opci on 3, Credential Harvester Attack Method El tipo de ataque seleccionado, como lo muestra la gura 3.3, permite a un atacante clonar un sitio que tenga alg un tipo de formulario de autenticaci on (formularios donde se solicita usuario y clave, como por ejemplo gmail) posteriormente cuando una v ctima ingresa en dicho sitio e ingresa sus credenciales de acceso, SET recolecta toda esta informaci on y posteriormente env a al usuario al sitio original, nalmente cuando el atacante desea nalizar la ejecuci on del ataque, obtiene un informe con la informaci on recolectada.

 3.6. PRACTICA PROPUESTA:

31

Figura 3.4: IP que capturara los datos Despu es de seleccionado un ataque del tipo Credential Harvester Attack Method y como lo muestra la gura 3.4, nos pide ingresemos una IP, la cual capturara la informaci on obtenida:

Figura 3.5: Mi IP ser a la que capturara la informaci on Despu es de haber ingresado la IP, nos pregunta qu e p agina deseamos clonar? En este caso (y solo para ejemplo), puse la de Facebook, la cual lo primero que pide al ingresar es llenar el formulario para loguearse o registrarse:

Figura 3.6: P agina web ejemplo Como lo muestra la gura 3.6, al ingresar la direcci on web de la p agina, el programa se encarga de clonarla. Para ir a la direcci on web de la p agina clon, vamos a la IP que ingresamos en un principio y obtenemos lo siguiente:

32

PRACTICA 3. SET: ATAQUES DE ELEMENTO HUMANO

Figura 3.7: P agina clon

En la gura 3.7 se ve claramente la p agina clonada es id entica a la original, con la diferencia que la direcci on web es la otra. Si ingresamos un usuario y contrase na, estos datos son recolectados y enviados a nuestra IP, pero el usuario es direccionado al sitio original, esto con el n de que no sospeche nada:

Figura 3.8: Datos recolectados por la p agina clon

3.7. RECOMENDACIONES:

33

3.7.

Recomendaciones:

Las recomendaciones que se deben seguir para este tipo de robo de informaci on son sumamente obvias, pues la principal caracter stica de este tipo de ataque es que la URL es distinta a la original. Esto se vio perfectamente bien con el ejemplo, donde la URL de la p agina clon era una IP (la m a en este caso), en vez de ser la p agina original tal y como se conoce (en este caso fue www.facebook.com pero pudo haber sido otra). Para mucha gente esto es obvio, pero para mucha otra no, pues cualquier otra persona solo por ver que la p agina es id entica a la original da por hecho que sus datos estar an protegidos, y m as a un si la informaci on que introdujo fue la correcta, pues SET hace que el usuario entre a su perl (cuenta de correo en caso de gmail), como si este se hubiera logueado desde la p agina original.

34

PRACTICA 3. SET: ATAQUES DE ELEMENTO HUMANO

Pr actica 4 SSLSTRIP
4.1. Introducci on:

La denici on de SSL Strip es variada, intentemos acercarnos a la realidad pr actica que es lo que m as nos puede interesar. SSL Strip consiste en hacer creer al usuario que est a bajo una conexi on segura, ya sea porque el usuario ve un peque no candado que indica seguridad, SSL Strip puede falsicarlo, o por que el usuario no se ja si est a bajo tr aco cifrado o no. Cuando un atacante lanza SSL Strip sobre una v ctima, esta sigue navegando felizmente por la red. El problema viene cuando se conecta a una p agina bajo HTTPS, la v ctima puede observar como el HTTPS ha desaparecido de su navegador, si no se ja en ese peque no detalle y se autentique en alg un sitio, sus credenciales ir an en texto plano hacia la v ctima. Cabe mencionar que esto solo puede pasar cuando el usuario entro a una p agina segura(me reero al protocolo HTTPS), por medio de un liga (un link).

4.2.

Objetivo:

Al terminar esta pr actica el alumno aprender a la forma en que trabajan los ataques al tr aco de una IP espec ca. Cambiando el protocolo HTTPS por uno HTTP, de tal manera que podemos ver el tr aco de la red como texto plano. Adem as aprender a a como evitar este tipo de ataques.

4.3.

Instalaci on:

Procedimiento para la instalaci on de SSL Strip: 1. Python: apt-get install python 35

36

PRACTICA 4. SSLSTRIP 2. Modulo: twisted-web apt-get install python-twisted-web 3. Descargar el paquete SSLStrip: http://www.thoughtcrime.org/software/sslstrip/ 4. Descomprimimos el paquete: tar -zxvf sslstrip-0.9.tar.gz 5. Entramos a la carpeta que se descomprimi o: cd ssltrip-0.9 6. Construimos SSLStrip cambiando de directorio y corriendo: python setup.py build 7. Instalamos SSLStrip con la siguiente instrucci on: sudo python setup.py install 8. Instalamos arpspoof: sudo apt-get install dsni 9. Instalamos ettercap: sudo apt-get install ettercap

10. Nota adicional: en caso de contar con alguna distribuci on de BackTrack, este cuenta con la herramienta pero muchas veces no esta instalada, por lo que entremos a la carpeta /pentest/web/sslstrip usando la instrucci on cd y ah ejecutamos lo siguiente: python sslstrip.py install

4.4.

Conceptos importantes:

Gateway: Un gateway (puerta de enlace) es un dispositivo que permite interconectar redes con protocolos y arquitecturas diferentes a todos los niveles de comunicaci on. Su prop osito es traducir la informaci on del protocolo utilizado en una red al protocolo usado en la red de destino. HTTPS: Tipo de protocolo que es usado para asegurar p aginas World Wide Web para aplicaciones de comercio electr onico, utilizando certicados de clave p ublica para vericar la identidad de los extremos. MITM (Man in the Middle): Es un ataque en el que el enemigo adquiere la capacidad de leer, insertar y modicar a voluntad, los mensajes entre dos partes sin que ninguna de ellas conozca que el enlace entre ellos ha sido violado. El atacante debe ser capaz de observar e interceptar mensajes entre las dos v ctimas. En este caso SSL se ejecuta en una capa entre los protocolos de aplicaci on como HTTP, SMTP, NNTP y sobre el protocolo de transporte TCP, que forma parte de la familia de protocolos TCP/IP.

4.5. METODOLOG IA:

37

ARP SPOOFING: Es una t ecnica usada para inltrarse en una red LAN, en donde el atacante pude husmear, modicar el tr aco, o incluso detener el tr aco (a esto ultimo se le conoce como Denegaci on de servicio o DoS). La funci on b asica del ARP Spoong es el de emitir falsos mensajes ARP llamados (spoofed), en la LAN. La nalidad de esta funci on es la asociar la direcci on MAC del atacante con la puerta de enlace predeterminada (Gateway), con la intenci on de confundir a las otras maquinas conectadas en ese segmento de red LAN, asiendo que estas le env en las peticiones de conexi on al atacante. Pudiendo este elegir entre reenviar el traco al verdadero Gateway (modicando, leyendo los datos), o bien no reenviarlos y producir un ataque DoS.

4.5.

Metodolog a:

1. Congurar IP Forwarding:

Figura 4.1: Activamos para trabajar con m ultiples direcciones IP 2. Comprobamos que se activo (debe salir un 1):

Figura 4.2: IP Forwarding activado

38 3. Redireccionar tr aco con iptables:

PRACTICA 4. SSLSTRIP

Figura 4.3: Cambio de traco del puerto 80 al 10000 4. Realizando ataque ARP MITM entre las 2 maquinas: arpspoof -i INTERFAZ -t VICTIMA HOST

Figura 4.4: Envenenamiento Arp Spoong 5. Abrimos una nueva ventana en la que iniciaremos SSLSTRIP, pero sin cerrar la que estamos usando con el ARP SPOOFING:

4.5. METODOLOG IA:

39

Figura 4.5: SSLStrip corriendo en BackTrack 5 6. Hasta este momento ya somos capaces de capturar el tr aco de la v ctima, y hacerle creer que esta trabajando con un protocolo HTTPS, lo que para nosotros signicar poder ver en texto plano lo que el esta haciendo. Las guras muestran el uso de esto que menciono:

Figura 4.6: P agina de correo electr onico

40

PRACTICA 4. SSLSTRIP

Figura 4.7: P agina de redes sociales 7. Despu es de que la v ctima hizo tales consultas, nosotros procedemos a revisar el log del SSLStrip, es decir, el archivo que nos va guardando todos los eventos que van ocurriendo. Para esto, vamos a la carpeta del SSLStrip y con el comando cat abrimos dicho archivo:

Figura 4.8: Log del SSLStrip

4.6.

Pr actica propuesta:

Para la pr actica propuesta es necesario realizar los pasos anteriores, correspondientes a la Metodolog a. Para ello se necesita de un compa nero que nos facilite su IP. Existen comandos com los siguientes para conocer que m aquinas est an conectadas a la red: netdiscover -i wlan0 -r 192.168.0.1/24 netdiscover -i eth0 -r 192.168.1.1/24 Otra forma es usando NMAP. Pero si tiene a un compa nero junto, basta con pedirle la ip, ya sea poniendo ifcong en Linux o ipcong en Windows.

4.7.

Recomendaciones:

La forma de protegerse de los ataques SSLStrip es evitando el ARP SPOOFING, por lo que prestare m as atenci on a como evitar este. Lo primero es tener en cuenta que la mayor a de estos posibles ataques pueden ser cuando estamos en una red LAN, es decir, en el hogar, un bar, estaci on de servicio, las redes abiertas de alg un restaurante u hotel, etc etera.

4.7. RECOMENDACIONES:

41

Como mencione antes, lo mejor es evitar el ARP SPOOFING, y para estos existen diversas herramientas que lo detectan: Wireshark: Windows y Linux www.wireshark.org/download.html Es una herramienta tipo snier, que entre sus funciones tiene la de detecci on de ARP Spoong. Al analizar nuestra red y poner la palabra ARP como ltro se puede ver que un host anuncia su MAC sin que otros se lo pidan, y nos encontramos dos respuestas de la misma IP pero con MAC diferente, para este punto Wireshark nos avisa con el mensaje duplicate use of (ip) detected!. DecaeinatID: Windows http://www.irongeek.com/i.php?page=security/decaeinatid-simple-idsarpwatch-for-windows Es un tipo de aplicaci on que checa los Event y Firewall logs, dando alertas cuando haya un cambiio de MAC del Gateway. Arpalert: Linux http://www.arpalert.org/ Esta aplicaci on no cuenta con entorno gr aco y genera un log llamado arpalert.log en /var/log corre como un demonio (que se ejecuta en segundo plano y no tiene interacci on con el usuario), y su conguraci on es muy sencilla, con un archivo de conguraci on que se encuentra en /etc/arpalert/arpalert.conf en el que hay que denir alguno par ametros. El log lo podemos ver en una consola con el comando: tail f /var/log/arpalert.log Con estas aplicaciones podremos saber si estamos siendo v ctimas de un ataque con SSLStrip, sin embargo solo quedara ah , pues solo estaremos conscientes de ello. Es por eso que la u nica y probable soluci on es encriptar todas las conexiones HTTP por HTTPS (reemplazarlo), sin importar p agina o servicio. Es un problema tener un protocolo seguro que depende de un protocolo inseguro. Ya para terminar lo que puedo decir, es que nadie estar a siempre exento de un ataque con SSLStrip.

42

PRACTICA 4. SSLSTRIP

Pr actica 5 Computo Forense: Imagen forense

5.1. Introducci on:

Una imagen forense o tambi en llamado Espejo, es un tipo de copia bit a bit de un medio electr onico de almacenamiento (Discos duros, memorias USB, etc etera). En esta imagen quedan grabados los espacios que ocupan los archivos y las a reas borradas incluyendo particiones escondidas. Este tipo de procedimiento es usado en los procesos penales o por compa n as que tuvieron alg un tipo de ataque inform atico y desean conocer el alcance que tuvo este.

5.2.

Objetivo:

Al terminar esta pr actica el alumno ser a capaz de realizar copias bit a bit de dispositivos de almacenamiento y esa copia ser a analizada con los m etodos de computo forense.

5.3.

Instalaci on:
1. Este paquete ya esta incluido en Linux

dd (Duplicate disk): Unix/Linux

FTK Imager: Windows 1. El paquete es gratuito y podemos descargarlo desde la Web disponible de AccessData: http://www.accessdata.com/support/productdownloads 43

44

PRACTICA 5. COMPUTO FORENSE: IMAGEN FORENSE

5.4.

Conceptos importantes:

MBR (Master Boot Record): Registro principal de arranque o registro de arranque maestro como tambi en se conoce, es un sector de 512 bytes al principio del disco duro que contiene una secuencia de comandos necesarios para cargar un sistema operativo. Es decir, es el primer registro del disco duro, el cual contiene un programa ejecutable y una tabla donde est an denidas las particiones del disco duro (Un primer sector f sico Cilindro 0, Cabeza 0, Sector 1). Partici on: En inform atica, creaci on de divisiones l ogicas (vol umenes) en un disco duro para aplicarles un formato l ogico (sistema de archivos) del sistema operativo espec co que se instalar a.A cada volumen (puede ser un u nico volumen) se le da un formato de sistema de archivo y se la asigna una letra de unidad (en Windows, C:, D:) o un nombre (como hda1, hda2 en Linux).En sistemas operativos como Linux se suelen crear tres particiones, la principal para datos, otra para el directorio home que contiene la conguraci on del usuario y una tipo swap para la memoria virtual. Unidades IDE y SATA: Las unidades IDE usan un cable plano de 40 pines que puede conectar un m aximo de dos unidades, en cambio las SATA usan un cable mucho m as peque no de 7 pines que solo permite conectar una unidad, por lo que no se pueden conectar ambas sin un adaptador. La unidades IDE al ser m as antiguas tienen una unidad de transferencia desde 33 MB/s a 133 MB/s a diferencia de las SATA que tienen una tasa de transferencia de 150 MB/s en SATA I y 300 MB/s en SATA II. Esto se ve muy reejado en el tiempo de b usqueda de cada una de estas unidades.

5.5.

Metodolog a:

1. Comando dd La sintaxis m as b asica para el uso del comando dd, ser a esta:

Figura 5.1: Comando m as b asico de dd

5.5. METODOLOG IA:

45

En el comando anterior el if signica input le (archivo de entrada) y of output le (archivo de salida). El origen y destino de los dispositivos pueden ser desde una lectora de CD o DVD, disco duro, diskettera, usb, particion, imagen de disco, etc etera, pero nunca carpetas o subcarpetas. Para su correcto funcionamiento siempre es necesario conocer el disco/partici on de origen y el de destino, algo que averiguamos f acilmente con el comando sudo fdisk -l o con alg un programa gr aco de particiones como gparted. Con el uso b asico del comando dd, no sabremos los datos que van pasando o el tiempo que hace falta, por lo que se agrega pv, la cual nos dar a como resultado una especie de barra de progreso, la informaci on sobre bytes transferidos, el tiempo que lleva ejecut andose y la tasa de transferencia. Obviamente todo esto en tiempo real:

Figura 5.2: A nadiendo el comando pv (*) Comprobar que se tiene instalado el paquete pv. Se puede descargar desde Synaptic. O con el comando: apt-get install pv Bueno en este punto, ya se sabe todo lo necesario acerca del comando dd y del disco duro, as que pasemos a las instrucciones m as elementales del comando dd.

a ) Copiando discos duros y particiones: Antes de la realizaci on de cualquier copia es necesario conocer los dispositivos que tenemos conectados y sobre cual queremos hacer una copia. Para eso utilizamos el comando df -h:

46

PRACTICA 5. COMPUTO FORENSE: IMAGEN FORENSE

Figura 5.3: Dispositivos conectados: Disco duro y memoria extraible Cabe mencionar que para un disco duro SATA el nombre del dispositivo es sda m as el n umero, y en caso de ser IDE es hda m as el n umero. De tal manera, los comandos para copiar el disco duro ser an los siguientes:

Figura 5.4: Discos IDE: Instrucci on para clonar hda en hdb

Figura 5.5: Discos SATA: Instrucci on para clonar sda en sdb El comando bs, usado en las guras 5.4 y 5.5 consigue que la lectura y escritura se haga en bloques de 1 megabyte. Menos que esto, el proceso ser a mas lento, pero m as seguro y con m as nos arriesgamos a perder datos en copiado. Cabe resaltar que de esta forma se hace una copia exacta del disco, como el MBR, tabla de particiones, espacio vac o, etc etera, por lo que no es recomendable que el lugar de salida sea el mismo disco que de entrada. Por esta raz on el lugar de salida debe ser en un

 5.6. PRACTICA PROPUESTA:

47

disco del mismo o mayor tama no que el de entrada. Como u ltimo punto y tomando como referencia la gura 5.3, siempre debemos poner atenci on a lo que queramos clonar, ya sea una copia completa del disco (sda) o de alguna partici on en especico (sda1, sda2, ...). b ) Copiando de un CD/DVD Habiendo explicado lo m as importante sobre el comando dd, podemos ahorrarnos la explicaci on sobre el siguiente comando:

Figura 5.6: Para crear la imagen .iso de un CD en el directorio /home Una opci on de lo m as interesante del comando dd, es que nos permite recuperar la informaci on de discos duros da nados (Esto no recupera todo el disco, en este caso, solo los sectores legibles):

Figura 5.7: Copia de un disco duro a nuestro directorio home En este caso la opci on noerror de la gura 5.7, sirve para obviar los errores de lectura en cualquier situaci on.

5.6.

Pr actica propuesta:

1. Usando el comando dd. Para este ejercicio se pueden usar 2 memorias, en este caso yo use una de 1GB con algo de informaci on y otra de 8GB completamente vac a (el proceso puede ser lento, por lo que se recomienda que la unidad o partici on, sea de poco volumen). En ese punto quiero dejar muy claro que se har a una copia exacta del dispositivo, es decir, si la unidad es de 1GB y solo tenemos ocupados 200MB, la copia igual sera de 1GB, pues al ser copia bit a bit se copian los espacios vac os, datos que no se vean, etc etera. Estas son los dispositivos antes del proceso: Ahora con el siguiente comando, procedemos al copiado bit a bit: Despu es de haber nalizado la copia, esto es lo que ocurre:

48

PRACTICA 5. COMPUTO FORENSE: IMAGEN FORENSE

Figura 5.8: Memorias extraibles de 1 y 8GB

Figura 5.9: Copia bit a bit Como se puede ver en la gura 5.10 y como mencione antes, esta es la raz on de usar un disco de igual o mayor tama no al que se har a la copia, ya que al ser una copia bit a bit, se copia todo por completo. En este caso la memoria extraible de 8GB se redimencion o a 1GB, esto con el n de que la memoria de 8GB sea una copia clon de la de 1GB.

5.7.

Recomendaciones:

Este tipo de copia es muy utilizada al haber recibido un ataque o hacer una copia de emergencia ante una actualizaci on de algo y no sabemos que pueda ocurrir. Por lo tanto, algunas medidas que debemos tomar son las siguientes: 1. Si se recibi o un ataque inform atico y se necesita hacer una copia del disco duro, lo mejor es ya no hacer cambios sobre este, sino simplemente hacer el copiado lo antes posible. No queremos que al querer hacer un cambio, borremos evidencia importante en el disco duro. 2. Otra cosa muy importante es tener en cuenta que el proceso de copiado ser a lento (recordando que estamos copiando a 1MB/seg), por lo que se deben tomar las medidas necesarias. 3. Por u ltimo y como se menciono durante el desarrollo de la pr actica, es necesaria una unidad del mismo o mayor tama no a la que se esta copiando, es imprescindible esto.

5.7. RECOMENDACIONES:

49

Figura 5.10: Proceso resultante de la copia bit a bit

50

PRACTICA 5. COMPUTO FORENSE: IMAGEN FORENSE

Bibliograf a
[1] http://nmap.org/book/man.html [2] http://windows.microsoft.com/es-mx/windows7/what-is-credentialmanager [3] http://www.tiposde.org/informatica/513-tipos-de-protocolos/ [4] https://www.trustedsec.com/ [5] http://underc0de.org/foro/gnulinux/como-instalar-set-(socialengineering-toolkit-)-en-ubuntu/ [6] http://www.cyberciti.biz/faq/how-to-detect-arp-spoong-under-unixor-linux/ [7] http://linux-tipps.blogspot.com/2008/06/detect-and-counter-arppoisoning-under.html [8] http://informacion.wordpress.com/2006/07/14/master-boot-recorddenicion/ [9] http://linuxzone.es/dd-clona-y-graba-discos-duros-facilmente/

51