viernes, 2 de octubre de 2015

Reflexiones sobre análisis de tráfico , SQL Injection, y la ética del hacker

Análisis de tráfico de red

Hasta que apareció el protocolo ssl en 1995 la mayoría de las comunicaciones por internet viajaban en claro, es decir, sin cifrar. Por eso nos encontramos hoy en dia muchos protocolos que aunque siguen funcionando perfectamente, y tienen un  gran número de usuarios, no protegen la información que manejan. Estoy hablando de protocolos o servicios TCP/IP muy útiles como el telnet, smb, http, vnc, ftp, X11, o pop3
En muchos escenarios donde se siguen usando protocolos inseguros, se ha optado por la solución de protegerlos mediante túneles ssh. Siendo ésta una solución asequible que evita adquirir hardware de seguridad adicional.
 

La aplicación Wireshark es una herramienta muy útil para las tareas de hacking ético. Permite observar, extraer y estudiar la información que se transmite entre dos sistemas. Se puede obtener datos como la dirección MAC, la dirección IP, el puerto de transmisión, el algoritmo de cifrado, si existe compresión en la comunicación, y el usuario y la contraseña en protocolos no cifrados.

SQL Injection

El SQL Injection es una técnica para atacar aplicaciones web mal diseñadas que permiten la ejecución de sentencias SQL en los campos de sus formularios. Mediante esa sentencia SQL se puede obtener información sensible contenida en las bases de datos que sustentan la página web.  Es por tanto una técnica bastante usada en auditorías de aplicaciones web y tests de intrusión.

La Ética del Hacker

El incidente del ciberataque al Hacking Team el pasado mes de julio, que supuso la publicación de 400 GB de información privada, ha sido comentado en multitud de publicaciones y medios todo el verano, y nos ha dado que pensar a todos.
El incidente demostró que hasta los mejores especialistas tienen también fallos graves de seguridad. Estoy de acuerdo con Román Ramirez cuando dice que no es lo mismo desarrollar exploits que gestionar la seguridad de una empresa.
El que una empresa de seguridad desarrolle ciberarmas no debería asombrar a nadie. De hecho el cibercrimen es uno de los negocios más lucrativos de hoy en dia, superando al de las drogas. El tema es que una cosa es desarrollar ciberarmas, y otra muy distinta usarlas de forma inapropiada o ilegal. Por tanto en mi opinión el límite de su uso lo deberían poner la leyes de cada país, y también estar regulado por alguna entidad o tribunal internacional.
 

La ciudadanía en general está bastante desinformada de las actividades del cibercrimen. La mayoría de la gente piensa que es bastante improbable que puedan sufrir un ataque informático; sobre todo por desconocimiento de la actividad de las mafias del cibercrimen, y porque piensan que su información no vale dinero
Publicado por en No hay comentarios:

La Ética del Hacker

¿Qué opinas sobre la acción realizada contra Hacking Team? ¿Consideras que los hackers se han excedido en sus ‘funciones’?
Según lo que he leído en distintos artículos, la comunidad hacker (no los ciberdelincuentes) estaban de alguna manera molestos con este grupo. Es posible que esta acción pueda tener sentido como un escarmiento al Hacking Team por vender "ciberarmas " principalmente a a gobiernos y a agencias de inteligencia gubernamentales; sobre todo porque posteriormente se ha demostrado que las usan para fines no demasiado éticos como expiar a periodistas. 
Yo pienso que el robo de información no se puede justificar, ni siquiera cuando se roba a alguien cuya acciones no sean demasiado éticas ni legales.
El caso es que se ha demostrado que hasta los mejores especialistas tienen también fallos graves de seguridad. Estoy de acuerdo con Román Ramirez cuando dice que no es lo mismo desarrollar exploits que gestionar la seguridad de una empresa.

¿Cuáles crees que deberían ser los límites del hacker?
Yo creo que no se deben poner límites a las actividades de un hacker porque no se puede saber con antelación el fin que se le va a dar a una herramienta (pentesting, robo de información, malfuncionamiento de sistemas). Lo que debería regularse no es la creación , sino el uso inapropiado de las ciberarmas. Como decía el compañero jesusmg, la fabricación de cuchillos no justifica las puñaladas 

¿Piensas que la ciudadanía es consciente del rol que los hackers pueden jugar en favor de su propia seguridad en la red detectando aquellos sitios que no son seguros ya sea porque ponen en riesgo los datos de los usuarios o bien porque hacen un uso ilegítimos de los mismos?
En mi opinión la mayoría de la gente sabe bastante poco de la actividad de los profesionales de la seguridad informática, ya sean hackers en general, ingenieros de seguridad, especialistas de las fuerzas armadas, cibercriminales, etc ... La ciudadanía conoce lo que personalmente le ha tocado experimentar; y hasta este año con el Cryptolocker, los ataques informáticos iban dirigidos principalmente a grandes empresas
Es verdad que tanto las fuerzas de seguridad especializadas como la Brigada de Investigación Tecnológica y el Grupo de Delitos Telématicos de la Guardia Civil, las universidades, y los medios de comunicación (Informe Semanal, Salvados, Documentos TV) están haciendo esfuerzos por divulgar la importancia de la seguridad informática. Pero la mayoría de la gente piensa que es bastante improbable que puedan sufrir un ataque informático; sobre todo por desconocimiento de la actividad de las mafias del cibercrimen, y porque piensan que su información no vale dinero.
Publicado por en No hay comentarios:

jueves, 1 de octubre de 2015

Unidad 2 - Tarea 1 - Analizando tráfico con Wireshark

Analizando tráfico con Wireshark

1.- Análisis de Telnet en el fichero telnet-raw.pcap
La siguiente imagen muestra la captura del tráfico telnet una vez aplicado la opción Follow TCP Stream





















Se observa:
Nombre de usuario: fake
Contraseña: user
Sistema operativo: OpenBSD 2.6
Secuencia de comandos: ls, ls -a, /sbin/ping www.yahoo.com, exit

2.- Análisis de tráfico SSL del fichero x509-with-logo.pcap
Se observa el envío del certificado del servidor en el frame 2 de la captura
Se trata de un certificado cifrado con algoritmo RSA y emitido por Verisign




3. Análisis de ssh del fichero ssh.pcap
El tráfico cifrado comienza a partir del frame 20. Hasta entonces se negocia distintos valores de la comunicación como el algoritmo de cifrado y la compresión.

Ssh se apoya en el protocolo TCP/IP para el establecimiento de la conexión entre dos sistemas; y sirve para encapsular, o proteger distintos protocolos/servicios que usan TCP/IP como son http, smb, pop3, telnet, ftp, y X11.
Dentro del túnel ssh toda la información va cifrada y no se pueden ver nombres de usuario y ni contraseñas
Las únicas características que identifican a las partes que se comunican, son las que emplea el protocolo TCP/IP para el establecimiento de la conexión y las versiones de software empleado. Estás son :
  • MAC de origen : ac:fd:ce:02:8d:a7
  • MAC de destino : e0:88:5d:c1:20:85
  • Dirección IP Origen: 192.168.0.14
  • Dirección IP Destino: 193.143.78.18
  • Puerto origen: 58693 
  • Puerto destino: 22 (defecto ssh)
  • Versión de SSH y Sistema opertativo origen: OpenSSH_6.7p1 Debian-5
  • Versión de SSH y Sistema operativo destino: OpenSSH_5.p1 Debian-6
Publicado por en 2 comentarios:

domingo, 27 de septiembre de 2015

Unidad 1 Tarea 3. Correo cifrado PGP

Herramientas de correo cifrado

Para el cifrado he usado la extensión PGP del navegador Firefox y Chrome llamada Mailvelope, y dos cuentas de correo, una de Yahoo y otra de Gmail.
Las extensiones PGP permiten crear el par de claves, exportar la clave publica, e importar las claves públicas de los destinatarios
Cuando se recibe un mensaje cifrado, se solicita la clave privada del destinatario para descifrar el contenido
Publicado por en No hay comentarios:

viernes, 25 de septiembre de 2015

Unidad 1 - Tarea 2

Búsqueda y puesta en común de recursos

El primer sitio que quería destacar es flu-project . Es el blog de Pablo González y José Antonio Calles; ambos hackers españoles bastante conocidos en el ámbito de la seguridad informática porque son ponentes habituales en las conferencias españolas más relevantes. El sitio web dispone de un listado completísimo de herramientas de seguridad; y también algunos retos de hacking.

 

El segundo sitio que recomiendo es el blog de Raj Chandel. Raj es un hacker ético de India y tiene una buena colección de artículos sobre hacking


Como tercer sitio aconsejo la comunidad de Dragon Jar. Esta web pertenece a una empresa de servicios de seguridad informática y formación, fundada por Jaime Andrés Rastrepo; que además dispone de bastantes recursos en forma de laboratorios, y de un foro en el que se puede participar.
Las entradas al foro se pueden consultar sin registro previo.



Publicado por en No hay comentarios:

Unidad 1 Tarea 1 - nmap

Herramientas básicas para obtener información de servidores externos

nmap

Nmap es un programa para escanear los puertos de un servidor con el objeto de encontrar servicios activos. Con esta utilidad podemos obtener entre otra información: el número de puerto, el nombre y la versión del servicio, y el sistema operativo del servidor.
Aplicando nmap al www.google.es se obtiene:

 
A destacar de la información obtenida, que los puertos abiertos son el 80 y 443; que corresponden al servicio web. El puerto 80 da servicio de páginas sin cifrar, y el puerto 443 de páginas cifradas con ssl. 
Aunque no se identifica la versión de sistema operativo, si se detecta que lleva kernel de linux, y que en un 85% de probabilidades es un Crestron Xpanel
La dirección IP del servidor que ha respondido es 173.194.40.15

Si ejecutamos el comando nmap con el servidor esukalert.net obtenemos lo siguiente:


De la información obtenida se destacan los siguientes valores:
  • Dirección IP: 193.146.78.12
  • Puertos abiertos: 80
  • Servicios visibles en internet: http

 

Publicado por en No hay comentarios:

Unidad 1 Tarea 1 - Whois

  Herramientas básicas para obtener información de servidores externos

 

Whois

Whois es un servicio que proporciona la organización InterNIC; y que ofrece información sobre dominios de internet. Para consultar la información de un dominio en particular hay muchas páginas en internet como whois.icann.org y www.whois.net ; pero también existe el comando whois en los principales sistemas operativos como Windows, Linux, y OS/X
Probamos este comando con el dominio google.es y obtenemos

  
Esto es debido a que el servicio whois sólo guarda información de dominios .com, .net, y .edu
Sin embargo si consultamos el dominio google.com si obtenemos  información




Los primeros registros que vemos son servidores cuyo nombre comienza por google.com, pero que no son los servidores de Google. Al final vemos la información del dominio google.com.
A destacar de esta información
  • El registrador: Markmonitor
  • El IANA ID: 292
  • Servidores: NS1.GOOGLE.COM, NS2.GOOGLE.COM, NS3.GOOGLE.COM, NS4.GOOGLE.COM
Si queremos obtener sólo la información del dominio google.com usaremos el comando whois con el parámetro domain, como se ve a continuación:


Por último si queremos más información a cerca del dominio podemos usar las páginas web anteriormente citadas.

Si queremos obtener información del dominio euskalert.net usamos el siguiente comando


A destacar de esta información:
  • El registrador: Acens technologies
  • IANA ID: 140
  • Servidores: NS1.MONDRAGON.EDU, NS2.MONDRAGON.EDU

Publicado por en 1 comentario:
Suscribirse a: Entradas (Atom)