Beruflich Dokumente
Kultur Dokumente
Entramos en la parte del ataque donde se hace uso del a informacin recolectada por los anteriores
puntos, en este punto se pueden dividir en :
-Ganando acceso
-Manteniendo acceso
-Limpiando registros
WIRE SNNIFFING
En este caso el attacante usa una herramienta para snifeo y poder capturar los datos que atraviesan la
red. Entro los datos capturados existe informacin sensible como contraseas (telnet,
ftp,rlogin,sessiones etc ) y emails. Con eso se puede ganar autorizacin.
Estos son raramente usados, puesto que los sniffer trabajan en un dominio de colisin, por lo tanto
estos dominios no suelen estar conectados a host o puentes, este trabaja en la capa de enlace, donde una
mquina tenga instalado y coriendo el sniffer.
Como los sniffers trabajan en un dominio de colision que no son soportados o conectados por un swich
o puente, al no ser soportados no se conmutan o suichean o puentean en el segmento del area del
sniffer.
Al hecho de capturar informacin de la red se le llama sniffing
Los usos comunes de un snnifer son:
-Recolectar informacion de cuentas de usuarios y contraseas, capturando la informacion
enviada por la red
-Medicin de trafico, para resolver cuellos de botella
-Saber porque un host no se conecta a la red
Estos pueden ser por software instalados en una maquina de la red o por hardware instalados en una
tarjeta de red
La topologa bus en una red LAN permitira un buen uso de los sniffer ya que todos los host comparten
ese medio en comn por lo tanto escuchar todos los datos de los equipos
tarjeta ethernet en modo promiscuo = recolectar informacin de todos los host de la LAN
Eso quiere decir que si activo el modo promiscuo el host capturar todos los datos del hub asi el
paquete de destino no tenga su direccin el la capturar, importante en modo promiscuo captura los
paqeutes que pasan por delante de la mquina que tiene instalado el sniffer
La informacin de un sistema si usa modo promiscuo se la puede obtener en la carpeta /proc esto y
mucha mas informacin de la red
Esta herramienta puede capturar cualquier tipo de dato, generalmente las contraseas que se envian al
servidor estan en texto plano, por lo que las puede capturar, ahora algunos sniffer tiene la posibilidad de
de enviar la informacion a un correo, o abrir un puerto de la victima para enviar informacion por ese
puerto.
Como el sniffer generalmente captura los primeros paquetes, para evitar la saturacin de trafico
estos capturar las contraseas de los usuarios, por lo que la de root esta segura, para ello es
bueno configurar telnet para que los usuarios que se quieran conectar solo entrend con su de esta
forma no podran entrar los atacantes.
Utilizar los sniffer como analizadores de protocolo permiten entender como funcionan las capas
del modelo osi
HERRAMIENTAS PARA EL SNIFFER
LINUX
TCPDUMP
SNIFFIT
ETHEREAL O WIRESHARK
Medidas a tomar
Activar el modo root para modo promiscuo y sockets raw
Buscar topologias diferentes a la del bus, para evitar el sniffeo una de ellas sera la de estrealla
Otra medida sera conseguir adaptadores de red que no permitan el modo promiscuo
Utilizar una versin limpia del comando ifconfig o ipconfig
Evitar enviar informacin importante por la red, proporcionar algoritmos de criptografia para
la informacion, aqui aparece nuevmente ssh que es mejor que telnet mas seguro porque envia los
paquetes con algoritmos de criptografia, se da autentificacion entre los dos host, otra solucin
sera KERBREOS pero es mas costosa
Contramedidas
Usar siempre HTTPS porque la informacion de los post va cifrada.
Activar la verificacin de dos pasos
Usar VPN red
ATAQUES PASIVOS
Basicamente lo que hacen estos tipos de ataques es copiar la informacion de tus archivos de contrasea,
para luego descifrarlos en la maquina atacante, en estos tenemos
ATAQUES OFFLINE RAINBOW
ATAQUES A REDES DISTRIBUIDAS
HASHES PRECOMPUTADOS
TABLAS RAINBOW
son tablas de consulta que usan el espacio tiempo para moverse mas rapido o mas lenteo sacrificando
recursos o no, con ello se logra obtener claves en texto simple a partir del resultado de la funcion hash
Entonces funcionamiento
Si tenemos un archivo y le aplicamos una funcion hash, a un archivo cualquiera se genera una clave
hash, entonces la tablas arco iris son tablas de busqueda que contienen todas las posibles
combinaciones de contraseas en un conjunto de caracteres dado
Este ataque realment tiene como objetivo perpetuar la criptografia del sistema.
ATAQUE NO ELECTRONICO
Se refiere a que no se necesita ninguna tcnica de instruccion o algun metodo donde se vea
comprometido el sistema de algun otro, entro los ataques no electronicos estan:
- Ingeneria social
-Olfateo de teclado
- Revisin de basura
revision debasura
Es un ataque donde se busca practicamente en la basura, contenedors de basura, sobre algun documento
que pueda ser de gran ayuda para el atacante, esto realmente ya no es tan usado puesto que toda la
informacin se contiene digital, de esa informacin relevante que no se tenga consiencia pueden ser
utilizados por atacantes para ganar acceso si encuentra algo importante, tambin puede ser el inicio de
un ataque por INGENIERIA SOCIAL
Shoulder sufring
Esta tecnica requiere de un contacto fisico con la victima de alguna forma, es decir si vas a una tiene y
la recepcionista ingresa a su cuenta, es posible usmear directamente la clave o ver como la teclea, luego
con el usuario visto se puede ingresar al sistema.
Otro ataque perteneciente a este metodo es el escuchar conversaciones donde se anuncian informacion
personal o cualquier informacion sensible de ayuda para el atacante, existe tambien el escucha de
password, entre otros.
Broadcast
Cuando estamos conectados a la red y un host envia un mensaje es posible obtener el mensaje de ese
origen y leerlo, si se usa la difusion puesto que el router buscar la ruta de destino o lo envia a todos y
cada uno lo rechaza de acuerdo a la ip y la mac de destino., entonces podemos poner la tarjeta de red en
modo promiscuo para que pueda escuchar todas las conversaciones de la red y recibir paquetes que no
sean para el host.
INGENIERIA SOCIAL
Metodo de engaar a las persona, puesto que las personas son un elemento muy debil y permite crear
un puente entre el atacante y el computador., es la manera de interactua con una persona que se pueda
usar para obtener acceso a la red y extraer sus contraseas basicamente es ganar confianza con la
persona con tecnicas personales, saber hablar bien, buenos gestos, amabilidad, etc etc.
Los hackres se aprovechan de la ignorancia e la gente frente a areas de la seguridad, la mejor forma de
prevenir esto es crear consciencia frente a las relaciones personales y evitar divulgar informacion
profesional por parte de los trabajadores.
KEY SNIFFING = KEYLOADRES
AUTENTIFICACIN DE MICROSOFT
Windows por lo general guarda sus contraseas en Active directory mas bien en el nucle centra si es
centralizado si no cada control de dominio tiene sus contraseas guardadas, recordar que el cliente
confia en el controlador de dominio pero el controlador no confia en el cliente o tambien las puede
guardar en el SAM, es importante saber que todas las contraseas de los usuarios se almacenan pero en
formato HASH, las contraseas nunca son guardadas en texto plano, SAM guarda sus contraseas en
un archivo de registro, luego el kernel de windows obtiene esta informacion y la guarda como un
archivo de sistema bloqueado, entonces este no podra ser accedido mientras el SO est activado, esto se
da porque el kernel de windows guarda este archivo y conserva el bloqueo de archivos creado, el
objetivo es recolectar la informacion o copiar la memoria del SAM con cualquier tcnicas.
Entonces :
Las contraseas de windows como todos los SO se guaran antes que nada aplicando una funcin
unidireccional o hash, con ello se puede evitar el camino inverso, es decir con la funcin hash encontrar
el texto plano de la contrasea esto sera computacionalmente costoso, windows guarda las
constraseas hasheadas en c/wndows/systema/conf/, luego si esta activado el SYSKEY ese archivo o
fichero SAM es encriptado, por lo tanto todas las contraseas que se les aplica SYSKEY ese valor hash
de aquellas contraseas se almacena pero cifrado y con una llave, entonces si el contenido es
descubrierto recordar que ya tiene una llave que utiliza una funcin unidireccional haciendolo un
algoritmo computcionalmente costoso descifrar, para mayor proteccion se ofrece una segunda clave
que se guarda en el sistema operativo,
Existen dos formas de autentificacion NTLM Y LM la diferencia radica en que uno no reconoce entre
mayusculas y minusculas y que la contrasea debe ser menos de 7 caracteres y el otro de 14, sus
cifrado tambien se diferencia, esto se soportaen versiones de windows xp, 2003 2000 etc.