la ventaja del intruso en esta fase del ataque: puede utilizar recursos
no éticos para la extracción o recolección de info. pasiva del obj.
Consultas a bases de datos
el intruso utilizará una recolección pasiva en cualquier tipo de información de empleados para acceder al
sistema corporativo. La empresa podra mitigar estos problemas creando politicas internas para la
creación de contraseñas de acceso.
Rooteado, es slang o lunfardo y significa que el intruso ha escalado privilegios (mayores permisos
en el servidor) en un sistema Linux/Unix hasta llegar a ser un usuario con per misos de root (cuenta
de máximo privilegio). Esto le da la posibilidad de realizar cuanto desee dentro del sistema, siempre y
cuando sepa cómo.
la recolección mas activa esta ligada a bases de datos intrusivas, metiendose dentro de los servidores o extrayendo datos
secuencialmente a muy alta velocidad. También lo pueden hacer instalando
Backdoors on-the-fly, puertas traseras para ingresar cuando se desee, sin despertar sospechas, ya que no dejan puertos abiertos o
detectables para saber que existen.
Binarios troyanizados, el intruso con suficientes conocimientos reemplaza a mano algunos archivos binarios de sistema, para ocultar procesos o archivos
dentro del mismo SO
Rootkits, serie de aplicaciones utilizada para mantener los privilegios del root dentro del servidor . Sirve para mantener
procesos ocultos y quizas una puerta de entrada. Existen para todos los SO
Sniffers, son capturadoes de logins o cualquier paquete.
Los mas usados en esta tecnica intrusiva son
shadows, servidores Linux y Solaris
SAM, servidores Windows flia. server o terminales XP
Un script-kiddie no sólo barre (escanea buscando o ejecuta exploits al azar) los rangos de direcciones IP. Éstos, extraerán información de carpetas compartidas o intranet s/extranets sin restricción de acceso o
con fallas de inyección de código SQL, muy fáciles de detectar y de utilizar para comprometer servidores de empresas u otras organizaciones.
Escaneo y fingerprinting
No deja de recopilar información al acertar un escaneo a los hosts del objetivo o al procesar información que brinda éste con resultado. Asi logra ubicar la organización
mediante rangos de direcciones IP y dominios. Con estos metodos esperará encontrar si los hosts de una red o un rango determinado de Internet estan vivos, de igual forma
reconocerá nombre y las IP:
A través de un port scanning; que puertos estan abiertos
Con el fingerprinting: que SO, version de kernel
poseen
Con el vulnerability scanning: podra conocer descuidos de
admon.
Consejos vulnerability scanning
Hay que entender que es lo que busca esta herramienta
No hay que ponerlo a funcionar con una configuración por defecto
No confiar plenamente en todo el output o resultao de analisis
Chequear cosas a mano
Descartar los módulos de chequeo de la herramienta, donde obviamente, esas vulnerabilidades no se encuentran por lógica del objetivo
Utilizar varias harramientas o productos
Inyectar todo tipo de cosas
Probar técnicas de evasión
Planificar un modelo/patrón de busqueda
Luego de lo planificado, intentar otras cosas sobre la base de aquello que surja
Peticiones HTTP
Se puede encontrar info. importante del objetivo y llevar a cabo ataques y chequeos, Ej: * Codigo fuente de pagina; * inyectar
scripts remotos; * Repositorios de archivos cconfidenciales o no, ocultos o no, etc.
Datos de archivos binarios y otros
El mismo tipo de análisis puede llevarse a cabo en archivos binarios del tipo .exe ya que
éstos, si están mal diseñados o protegidos, nos darán algún path, cuenta de usuario, o bien
pistas sobre el autor o quién lo desarrollo y la plataforma de su terminal.
Información Gathering en la vida real
Quiere decir que el intruso hará la busqueda fuera de Internet o utilizando tecnología
basada en ésta, pero llevada al contexto físico y cercano del objetivo. Lo mas común:
Buscar datos de la organización
Llamar por teléfono
Enviar correo ordinario
Visitar la organización en persona
Revisar la basura
Instalar uno o varios nodos wireless cerca de la organización
Utilidades IG de Backtrack 2.0
Es una distribución LiveCD de Linux, lo que significa que no hace falta instalar el sistema
operativo ya que podemos correrlo directamente desde su CD o incluso desde un pendrive.
Es una distribución creada en especial para quienes están relacionados con la seguridad informática.
Analizar la información
No se deja de recopilar información hasta que el trabajo se ha logrado total o parcialmente. Muchas veces durante el
chequeo, se sigue obteniendo informaciónsustancial que puede llegar a darnos pistas para intentar otras cosas en el
sistema
Buscadores
Gran fuente de clasificación, análisis, busqueda y caché de info., confidencial o no.
Altavista, años 90
Yahoo, año 2000
Google, actual
Busquedas determinadas que se pueden hacer para encontrar info. ligada a intrusiones: archivos con info. sensible, configuraciones,
bases de datos, detalles de vulnerabilidad, avisos, usuarios, entradas de logueo, logins, directorios privados, errores típicos de un SO.
Google Hack Honeypot, proyecto para estudiar y analizar a script-kiddies que utilizan Google para buscar
determinados parámetros en el buscador.
Su intención es atraer intrusos simulando ser vulnerables a los ataques. Es una herramienta de seg. informática para recoger info. sobre atacantes y sus técnicas. Puede
distraer al atacante para advertir al administrados del sist. de un ataque y permite un examen del atacante durante y despues del ataque.
Las busquedas típicas de un objetivo determinado será:
site:sitiovictima.com
En la busqueda de un e-mail, es recomendable
utilizar:
• @dominiovictima.com: sólo el dominio para ver más usuarios. •
usuario@dominiovictima.com: e-mail completo. • usuario dominiovictima.com: con un espacio
en blanco en el medio. • usuario: el usuario solo. • usuario dominio ealgunisp: para encontrar
otras posibles casillas.
La búsqueda debe pasar más por la lógica e in ventiva nuestra que por los recursos automatizados
con los que contemos para todo lo que comprende el chequeo.
Veamos un listado de operadores avanzados de
Google:
• site: busca todo lo relacionado al dominio. • intitle: sitios relacionados al título. • allintitle: sitios de títulos con todas las palabras definidas. • inurl: presente en el URL. • allinurl: todo presente en el URL.
• filetype: tipo de archivo por buscar, extensión. • allintext: todo presente en el texto por buscar. • link: quién linkea a determinado sitio buscado. • inanchor: busca en el texto utilizado como link. •
daterange: busca entre rangos de fechas. • cache: busca dentro de los sitios cacheados. • info: información sobre el sitio web buscado. • related: busca similares. • author: autor de mensaje en Google
Groups.
• group: busca pertenencia de grupo en Google Groups. • phonebook: busca números de teléfono. • insubject: busca titulares de mensajes en Google Groups. • define: busca el significado de
determinado vocablo.
Nunca conviene postear (publicar) direcciones de e-mail, menos la de nuestra empresa. Conviene
usar una de Hotmail o Gmail. Además, no es recomendable usar nombres reales, cargos o detalles,
si no sólo nick names aleatorios. Si posteamos desde nuestra empresa, recordemos usar un
proxy http para no dejar la direc ción IP real allí.
Para evitar problemas, en nuestros sitios web conviene utilizar un filtrador de robots de indexación,
si no deseamos que Google u otro buscador cacheen el sitio o parte de ellos.
Otros recursos online
Hay otras bases de datos públicas y herramientas que brindarán datos en tiempo real en Internet.
SmartWhois: encuentra info. de una IP
CountryWhois: devuelve elpaís de donde proviene la IP
TraceRoute: devuelve la maquina y la IP de cada salto que daun paquete desde la maquina original hasta la de destino por Internet
Ping: envía u echo request a una maquina especifica en la red
NsLookup: resuelve un hostname a dirección IP o visceversa
Proxy Test: chequea si un Proxy es realmente anónimo
Environmental Variables Test: muestra varias configuraciones remotas del browser y de nuestra maquina
Cabeceras de correos
electrónicos
después de encontrar las casillas de correo de las organizaciones mediante el buscador o revisando la pagina web institucional,
el intruso ubicará en la red a la empresa mediante análisis o intercción
Interacción: en caso de que no encuentre el codigo de algún
correo electrónico
Anáñisis: analizar y comenzar a escanear los puertos y los host, para resolver las IP
También obrará de modo lógico para obtener otros datos valiosos
o aprovechables. La información que puede dar a un intruso un
simple correo electrónico es muy variada e importante.
Telneteo
Busqueda manual de banners y otra
información. Modismo que significa utilizar un cliente telnet
Sirve para ver que hay en ese servicio y generalmente se ven solo banners,
pequeños carteles de información del servicio