viernes, 2 de octubre de 2015

Reflexiones sobre análisis de tráfico , SQL Injection, y la ética del hacker

Análisis de tráfico de red

Hasta que apareció el protocolo ssl en 1995 la mayoría de las comunicaciones por internet viajaban en claro, es decir, sin cifrar. Por eso nos encontramos hoy en dia muchos protocolos que aunque siguen funcionando perfectamente, y tienen un  gran número de usuarios, no protegen la información que manejan. Estoy hablando de protocolos o servicios TCP/IP muy útiles como el telnet, smb, http, vnc, ftp, X11, o pop3
En muchos escenarios donde se siguen usando protocolos inseguros, se ha optado por la solución de protegerlos mediante túneles ssh. Siendo ésta una solución asequible que evita adquirir hardware de seguridad adicional.
 

La aplicación Wireshark es una herramienta muy útil para las tareas de hacking ético. Permite observar, extraer y estudiar la información que se transmite entre dos sistemas. Se puede obtener datos como la dirección MAC, la dirección IP, el puerto de transmisión, el algoritmo de cifrado, si existe compresión en la comunicación, y el usuario y la contraseña en protocolos no cifrados.

SQL Injection

El SQL Injection es una técnica para atacar aplicaciones web mal diseñadas que permiten la ejecución de sentencias SQL en los campos de sus formularios. Mediante esa sentencia SQL se puede obtener información sensible contenida en las bases de datos que sustentan la página web.  Es por tanto una técnica bastante usada en auditorías de aplicaciones web y tests de intrusión.

La Ética del Hacker

El incidente del ciberataque al Hacking Team el pasado mes de julio, que supuso la publicación de 400 GB de información privada, ha sido comentado en multitud de publicaciones y medios todo el verano, y nos ha dado que pensar a todos.
El incidente demostró que hasta los mejores especialistas tienen también fallos graves de seguridad. Estoy de acuerdo con Román Ramirez cuando dice que no es lo mismo desarrollar exploits que gestionar la seguridad de una empresa.
El que una empresa de seguridad desarrolle ciberarmas no debería asombrar a nadie. De hecho el cibercrimen es uno de los negocios más lucrativos de hoy en dia, superando al de las drogas. El tema es que una cosa es desarrollar ciberarmas, y otra muy distinta usarlas de forma inapropiada o ilegal. Por tanto en mi opinión el límite de su uso lo deberían poner la leyes de cada país, y también estar regulado por alguna entidad o tribunal internacional.
 

La ciudadanía en general está bastante desinformada de las actividades del cibercrimen. La mayoría de la gente piensa que es bastante improbable que puedan sufrir un ataque informático; sobre todo por desconocimiento de la actividad de las mafias del cibercrimen, y porque piensan que su información no vale dinero
Publicado por en No hay comentarios:

La Ética del Hacker

¿Qué opinas sobre la acción realizada contra Hacking Team? ¿Consideras que los hackers se han excedido en sus ‘funciones’?
Según lo que he leído en distintos artículos, la comunidad hacker (no los ciberdelincuentes) estaban de alguna manera molestos con este grupo. Es posible que esta acción pueda tener sentido como un escarmiento al Hacking Team por vender "ciberarmas " principalmente a a gobiernos y a agencias de inteligencia gubernamentales; sobre todo porque posteriormente se ha demostrado que las usan para fines no demasiado éticos como expiar a periodistas. 
Yo pienso que el robo de información no se puede justificar, ni siquiera cuando se roba a alguien cuya acciones no sean demasiado éticas ni legales.
El caso es que se ha demostrado que hasta los mejores especialistas tienen también fallos graves de seguridad. Estoy de acuerdo con Román Ramirez cuando dice que no es lo mismo desarrollar exploits que gestionar la seguridad de una empresa.

¿Cuáles crees que deberían ser los límites del hacker?
Yo creo que no se deben poner límites a las actividades de un hacker porque no se puede saber con antelación el fin que se le va a dar a una herramienta (pentesting, robo de información, malfuncionamiento de sistemas). Lo que debería regularse no es la creación , sino el uso inapropiado de las ciberarmas. Como decía el compañero jesusmg, la fabricación de cuchillos no justifica las puñaladas 

¿Piensas que la ciudadanía es consciente del rol que los hackers pueden jugar en favor de su propia seguridad en la red detectando aquellos sitios que no son seguros ya sea porque ponen en riesgo los datos de los usuarios o bien porque hacen un uso ilegítimos de los mismos?
En mi opinión la mayoría de la gente sabe bastante poco de la actividad de los profesionales de la seguridad informática, ya sean hackers en general, ingenieros de seguridad, especialistas de las fuerzas armadas, cibercriminales, etc ... La ciudadanía conoce lo que personalmente le ha tocado experimentar; y hasta este año con el Cryptolocker, los ataques informáticos iban dirigidos principalmente a grandes empresas
Es verdad que tanto las fuerzas de seguridad especializadas como la Brigada de Investigación Tecnológica y el Grupo de Delitos Telématicos de la Guardia Civil, las universidades, y los medios de comunicación (Informe Semanal, Salvados, Documentos TV) están haciendo esfuerzos por divulgar la importancia de la seguridad informática. Pero la mayoría de la gente piensa que es bastante improbable que puedan sufrir un ataque informático; sobre todo por desconocimiento de la actividad de las mafias del cibercrimen, y porque piensan que su información no vale dinero.
Publicado por en No hay comentarios:

jueves, 1 de octubre de 2015

Unidad 2 - Tarea 1 - Analizando tráfico con Wireshark

Analizando tráfico con Wireshark

1.- Análisis de Telnet en el fichero telnet-raw.pcap
La siguiente imagen muestra la captura del tráfico telnet una vez aplicado la opción Follow TCP Stream





















Se observa:
Nombre de usuario: fake
Contraseña: user
Sistema operativo: OpenBSD 2.6
Secuencia de comandos: ls, ls -a, /sbin/ping www.yahoo.com, exit

2.- Análisis de tráfico SSL del fichero x509-with-logo.pcap
Se observa el envío del certificado del servidor en el frame 2 de la captura
Se trata de un certificado cifrado con algoritmo RSA y emitido por Verisign




3. Análisis de ssh del fichero ssh.pcap
El tráfico cifrado comienza a partir del frame 20. Hasta entonces se negocia distintos valores de la comunicación como el algoritmo de cifrado y la compresión.

Ssh se apoya en el protocolo TCP/IP para el establecimiento de la conexión entre dos sistemas; y sirve para encapsular, o proteger distintos protocolos/servicios que usan TCP/IP como son http, smb, pop3, telnet, ftp, y X11.
Dentro del túnel ssh toda la información va cifrada y no se pueden ver nombres de usuario y ni contraseñas
Las únicas características que identifican a las partes que se comunican, son las que emplea el protocolo TCP/IP para el establecimiento de la conexión y las versiones de software empleado. Estás son :
  • MAC de origen : ac:fd:ce:02:8d:a7
  • MAC de destino : e0:88:5d:c1:20:85
  • Dirección IP Origen: 192.168.0.14
  • Dirección IP Destino: 193.143.78.18
  • Puerto origen: 58693 
  • Puerto destino: 22 (defecto ssh)
  • Versión de SSH y Sistema opertativo origen: OpenSSH_6.7p1 Debian-5
  • Versión de SSH y Sistema operativo destino: OpenSSH_5.p1 Debian-6
Publicado por en 2 comentarios:
Suscribirse a: Entradas (Atom)