Instituto Tecnolgico de

Tehuacn
Fundamentos de
Investigacin
Unidad 4
Investigacin de Tema
Francisco Javier Flores
Beristain
Grupo A
Dic 2016
TEMA

Hacking
 OBJETIVOS

Objetivo General: Realizar una investigacin acerca del hackeo web, mediante la
aplicacin de encuestas a empresas para prevenir futuros ataques.

Objetivos especficos:

Realizar una bsqueda de empresas que han sido atacadas.

Realizar la encuesta que ser aplicada.
Agendar citas con las empresas para poder aplicarlas.
Analizar los resultados de las encuestas.
Realizar un reporte sobre los resultados para trabajar en un software para
evitar ms ataques.
 MARCO TERICO
Investigacin:

Una investigacin es un proceso sistemtico, organizado y objetivo, cuyo propsito

es responder a una pregunta o hiptesis y as aumentar el conocimiento y la
informacin sobre algo desconocido. Asimismo, la investigacin es una actividad
sistemtica dirigida a obtener, mediante observacin, la experimentacin, nuevas
informaciones y conocimientos que necesitan para ampliar los diversos campos de
la ciencia y la tecnologa.

La investigacin se puede definir tambin como la accin y el efecto de realizar

actividades intelectuales y experimentales de modo sistemtico con el propsito de
aumentar los conocimientos sobre una determinada materia y teniendo como fin
ampliar el conocimiento cientfico, sin perseguir, en principio, ninguna aplicacin
prctica.

Hackeo web:

DIFERENCIAS ENTRE TIPOS DE WEBs

Creo que para que nos entendamos mejor, es importante distinguir entre dos clases
de WEBs, las webs personales, que pueden ser modificadas por el usuario
propietario mediante su clave (tipo Geocities, Xoom y los proveedores de acceso a
Internet que ofrecen espacio WEB).

El segundo tipo, serian aquellas WEBs, llamadas "principales" de un servidor, que

solo pueden ser modificadas por usuarios con muy altos privilegios (llamadas "root"
o "administrador".

La utilizaremos para diferenciar las formas de hacernos con los passwords que nos
dejan modificarlas... evidentemente no es igual de facil conseguir ser root en un
server que tener una cuenta de usuario... asi que para esto se mostr como se
diferencian.
OBTENIENDO PASSWORDS DE TIPO A (USUARIO)

Estos passwords de usuarios, generalmente no muy cualificados, se caracterizan

por ser muy fciles de recordar, repetidos con los passwords de otras cosas, as
que si la persona propietaria de las WEB es alguien cercano a ti, puedes empezar
probando algunas palabras que te puedan parecer "interesantes" (nombre del perro,
mujer, hijos, fecha de nacimiento, lugar de residencia), pero tampoco te mates
mucho probando pues esto es perder el tiempo muchas veces, as que si a los 10 o
11 intentos no sale nada, mejor dejes esta forma

Pero tambin sera una buena idea intentar sacar el password a la "victima" a travs
de engaos y dems (lo llaman ingeniera social), por ejemplo puedes ligarte al
dueo de la web y conseguir que te diga su password o tambin puedes intentar
meterle un troyano tipo BO o NETBUS, que te permitirn sacarle las password,
evidentemente no voy a contar aqu lo que le tienes que decir a la vctima para que
te crea as que tu tendrs que hacerlo.

Adems, si conseguimos el fichero de passwords del servidor Estamos de suerte!!.

Pues generalmente los passwords de usuario son bastante fciles de crackear solo
elige el usuario y pon John The Ripper a trabajar (John es uno de los programas de
cracking de ficheros PASSWD de UNIX ms conocidos).

Pero probablemente el problema no sea el uso del John, sino el conseguir el fichero
PASSWD, asi que para eso vamos al siguiente apartado.

OBTENIENDO PASSWORDS DE TIPO B (root)

Normalmente los administradores de los servidores no se chupan el dedo, as que

conseguir el fichero o el root directamente a travs de un exploit (programa que se
aprovecha de un BUG o agujero en el sistema operativo) no sea una tarea fcil.

Lo primero que puedes intentar es pillar el passwd por el FTP y cuando eso no te
haya funcionado probar el PHF (escribir la siguiente lnea en tu navegador:
http://www.host.com/cgi-bin/phf?Qalias=%0a/bin/cat%20/etc/passwd, donde
host.com es el nombre del servidor), si el phf funcionase (en estos tiempos ya suele
estar parcheado en casi todos los servidores, as que si no te sirve no te deprimas),
tendras en tu pantalla el fichero passwd, pero antes de alegrarte fjate en algo, si
aparece:

root:*:0:0:Charlie &:/root:/bin/csh

( un asterisco (*) detrs del nombre "root" y los dos puntos, tambin puede aparecer
una equis (x)), quiere decir que el fichero esta shadow sea que aparte del
PASSWD necesitas otro archivo... el SHADOW, puedes intentar sacarlo con PHF
cambiando la palabra passwd del final de la lnea del PHF por la palabra shadow (
para ser un poco ms explcito puedes jugar con el phf, cambiando de directorio...
supongo que te estars dando cuenta de cmo y si no, hay va una pista... "etc" es
el nombre de un directorio).

Bueno, si lo anterior no ha funcionado, no te preocupes, an tenemos ms bazas

que jugar.

Si por cualquier casualidad de la vida posees una cuenta de usuario en el servidor,

puedes intentar hacerte con el password (y con el shadow si hace falta) a travs de
telnet (prueba con cat o more , para ver si Dios es tu amigo y puedes editar los
archivos) o, puedes enterarte del Sistema operativo que usa el server, version ...
(enterarte tambin de la versin del STMP, FTP) y vete a buscar exploits (ya
explique antes lo que son exploits).

Una vez que lo/s tengas los pruebas, para probarlos, primero tendrs que
compilarlos (ojo, hay exploits que no hay que compilar, pues simplemente consisten
en teclear unos comandos, si tienes algo de experiencia seguro que recuerdas
algunos viejos compaeros .

Un buen sitio para pillar exploits es: http://www.rootshell.com/

Y dnde los compilo?, pues con el propio server (con gcc) o en otro con el mismo
SO, ojo no puedes compilar exploits para un SUN en un linux Red Hat, una vez que
lo tengas compilado lo ejecutas.
Despus de todo esto, y otro poco por tu parte seguramente ya tengas root en algn
pequeo server para proba (Recuerda si no tienes mucha soltura, empieza por china
o por all que si te pillan no se metern mucho contigo).

Qu es y cmo se hace el SEO Hacker o Hacking Web?:

SEO Hacker o Hacking Web, se define como el conjunto las tcnicas/estrategias

que utilizan algunas personas para hackear webs. Sacando conclusiones de la
experiencia y consejos del experto en hacking, podemos decir que hackear una web
es mucho ms fcil de lo que pensamos y con el agravante de que circula mucha
informacin en Internet de cmo tu Blog o sitio web puede ser hackeado.

Quin puede sufrir un hackeo de su sitio Web?

Cualquiera, no solo las grandes empresas sufren las consecuencias sino que
pequeas webs. Podemos ser vctimas de un ataque en cualquier momento y por
ello hemos de ir revisando:

1- Nuestros enlaces salientes.

2- Estado de la indexacin.

3- Posibles causas de bajada del trfico.

4- Keywords de entrada sospechosas en master tools.

5- Cualquier anomala que podamos observar en nuestra web.

6- No olvidar tener softwares de seguridad eficientes y actualizados.

Cmo se hackean las webs?:

Hackear nuestra web no es tan complicado, cualquiera podemos ser su objetivo

dependiendo de la razn por la cual quieren nuestra web. Una entrada fcil es la
configuracin de nuestro robot.txt la cual deja una puerta abierta muy jugosa para
encontrar aquello que justo no deseamos que vean y sobre todo ir revisando nuestra
web de forma diaria o semanal sumado a un software potente de seguridad.
Por qu se hackean los sitios webs?

1- Conseguir informacin privilegiada (Bases de datos).

2- Estafas, por ejemplo los nmeros de cuentas de tus clientes en una e-commerce
(mediante cdigo malicioso).

3- Posicionarse infiltrndose de forma activa y pasiva en las webs de otros. Esto

tiene sus ventajas para los hackers y por varias razones:

A. Hackear 500 webs es ms fcil que crear tu web y posicionarla.

B. Las webs hackeadas poseen un cierto historial de dominio por lo que el
posicionamiento alimentado a travs de ellas ser mucho ms fcil.
C. Es ms barato hackear webs que crear una web y posicionarla.
D. Tenemos millones de webs para hackear y repetir el modelo) substituyendo
su contenido por el malicioso.

4- Eliminar a tu competencia con Seo negativo.

5- Chantajes por infeccin de software malicioso.

Muchos desconocemos, factores muy importantes los cuales nos convierten en

futuras vctimas de los hackers. Un simple robot.txt mal configurado deja la puerta
abierta a un hacker. Nuestro Robot.txt no es tan inofensivo como parece y para ser
realistas, pocos sabemos de verdad como funciona.

Unas equvocas lneas de disallow, pueden arruinarnos la vida ya que a travs de

estos cdigos un hacker puede encontrar los archivos que precisamente no queras,
mucho ms si tiene tiempo y est aburrido, probando combinaciones en Serp se
llega a la Meta.

Cmo pueden hackear una Web con slo datos del Robot.txt?

Con comandos tan simples como site:xxx entre otros combinados con Archive, la
web chivata ve nuestro pasado. Es la razn por la que existen cientos de webs de
reconocidas marcas y gubernamentales las cuales estaban hackeadas de forma
visible con anuncios popup, redirecciones, enlaces ocultos en cdigo no visible,
enlaces vnculo o enlaces introducidos en los textos de la web procedentes del
hacker,infeccin con softwares, etc.

Consejos para evitar que nos hackeen un blog o sitio Web:

Si estas en busca de consejos para evitar que tu blog o sitio web sea vctima de un
hackeo SEO, sentimos informaros de que es inevitable, por muchas medidas de
seguridad que existan si un buen hacker quiere entrar en vuestra casa, lo har tarde
o temprano, pero an as debemos intentar ponrselo difcil y para tales fines sigue
las siguientes recomendaciones:

1- Software actualizado.

2- Firewalls.

3- Sysadmin.

4- Correcta configuracin del robot.txt.

5- Proteger los archivos a travs de .htaccess

6- Uso de un CDN (Content Delivery Network) que filtra los accesos sospechosos.

7- Escaneo diario de archivos del web para identificar malware.

Ataque web:

Tipos De Ataques Ms Comunes A Sitios Web Y Servidores:

Si ests leyendo este artculo, es porque de seguro estas interesado en conocer las
tcnicas o mtodos que se usan para realizar un ataque a una pgina o sitio web,
como tambin a los servidores. Ya sea que tus intenciones no sean buenas malas,
te explicaremos los tipos de ataques ms comunes que se realizan en los sitios y
servidores web.

Qu puedes hacer con lo que conocers? Simple, conocer cmo funciona el

ataque y as evitar ser vctima de un ataque en especfico. De seguro con este
articulo te preguntars: Mi Sitio Web Esta Preparado Para Cualquier Ataque De
Hackers?. No te queremos sembrar una duda, solo deseamos abrirte los ojos y que
seas capaz de lograr un proteccin a tus recursos web.

Ataque Por Injection:

Los ataques de inyeccin, ms especficamente sqli (Structured Query Language

Injection) es una tcnica para modificar una cadena de consulta de base de datos
mediante la inyeccin de cdigo en la consulta. El SQLI explota una posible
vulnerabilidad donde las consultas se pueden ejecutar con los datos validados.

SQLI siguen siendo una de las tcnicas de sitios web ms usadas y se pueden
utilizar para obtener acceso a las tablas de bases de datos, incluyendo informacin
del usuario y la contrasea. Este tipo de ataques son particularmente comunes en
los sitios de empresas y de comercio electrnico donde los hackers esperan
grandes bases de datos para luego extraer la informacin sensible. Los ataques sqli
tambin se encuentran entre los ataques ms fciles de ejecutar, que no requiere
ms que un solo PC y una pequea cantidad de conocimientos de base de datos.

DDoS:

La Denegacin de Servicio (DoS) Denegacin de Servicio Distribuida (DDoS) son

las formas ms comunes para congelar el funcionamiento de un sitio web. Estos
son los intentos de inundar un sitio con solicitudes externas, por lo que ese sitio no
podra estar disponible para los usuarios reales. Los ataques de denegacin de
servicio por lo general se dirigen a puertos especficos, rangos de IP o redes
completas, pero se pueden dirigir a cualquier dispositivo o servicio conectado.

Los ataques de denegacin de servicio funcionan cuando una computadora con una
conexin a Internet intenta inundar un servidor con paquetes. DDoS, por otro lado
son cuando muchos dispositivos, a menudo ampliamente distribuidos, en un intento
de botnet para inundar el objetivo con cientos, a menudo miles de peticiones.

Los ataques DDoS vienen en 3 variedades principales:

Los ataques de volumen, donde el ataque intenta desbordar el ancho de

banda en un sitio especfico.
 Los ataques de protocolo, donde los paquetes intentan consumir servicios o
recursos de la red.
Ataques a aplicaciones, donde las peticiones se hacen con la intencin de
explotar el servidor web, mediante la capa de aplicacin.

Fuerza Bruta:

Estos son bsicamente intenta romper todas las combinaciones posibles de

nombre de usuario + contrasea en una pgina web. Los ataques de fuerza bruta
buscan contraseas dbiles para ser descifradas y tener acceso de forma facil. Los
atacantes cuentan con buen tiempo, as que el truco es hacer que tus contraseas
sean lo bastante seguras y as el atacante se cansara antes de descifrar tu
contrasea. Mientras que las computadoras se vuelven ms y ms poderosa la
necesidad de contraseas ms fuertes se vuelve cada vez ms importante. El caso
ms reciente de esta vulnerabilidad, se ha visto en cuanto a la vulneracin de
cuentas de algunos famosos alojadas en iCloud.

Cross Site Scripting:

Los atacantes utilizan Cross-site Scripting (XSS) para inyectar scripts maliciosos en
lo que seran sitios web inofensivos. Debido a que estos scripts parecen provenir de
sitios web de confianza, el navegador de los usuarios finales casi siempre ejecuta
la secuencia de comandos, la concesin de los piratas informticos el acceso a la
informacin contenida en las cookies o tokens de sesin utilizados con ese sitio. El
XSS generalmente se utiliza para obtener acceso de un usuario de la cuenta.

Por Qu Hackean Los Sitios Web?

Simple, porque hay personas buenas y personas malas, bueno, para no ser tan
tajantes con la explicacin, es porque existen White Hack y Black Hack. Has
escuchado alguna vez, mentiras son mentiras, ya sean blancas o negras? Pues
bien, en este caso, puede aplicar esto, con la variacin, de que los White Hack
tienen un motivo bueno para vulnerarla seguridad, en contraparte, los Black Hack,
no. Los White Hack, son aquellos profesionales que prueban que tan vulnerable es
un sistema, y realizar un reporte detallado el cual servira para mejorar el sistema,
son conocidos como auditores de seguridad informtica.

Ataques va web:

Durante los ltimos aos los servidores web se han convertido en una excelente
fuente de diversin para piratas: cualquier empresa que se precie, desde las ms
pequeas a las grandes multinacionales, tiene una pgina web en las que al menos
trata de vender su imagen corporativa. Si hace unos aos un pirata que quisiera
atacar a una empresa (y no a todas, ya que muy pocas tenan representacin en la
red) tena que agenciarselas para obtener primero informacin de la misma y
despus buscar errores de configuracin ms o menos comunes de sus sistemas
(o esperar al prximo bug de sendmail), hoy en da le basta con teclear el nombre
de su objetivo en un navegador y aadir la coletilla `.com' detrs del mismo para
contactar con al menos una de sus mquinas: su servidor web.

Los ataques a las pginas web de una organizacin son casi siempre los ms
`vistosos' que la misma puede sufrir: en cuestin de minutos piratas de todo el
mundo se enteran de cualquier problema en la pgina web principal de una empresa
ms o menos grande pueda estar sufriendo, y si se trata de una modificacin de la
misma incluso existen recopilatorios de pginas `hackeadas'. Por supuesto, la
noticia de la modificacin salta inmediatamente a los medios, que gracias a ella
pueden rellenar alguna cabecera sensacionalista sobre `los piratas de la red', y as
se consigue que la imagen de la empresa atacada caiga notablemente y la del grupo
de piratas suba entre la comunidad 'underground' nacional o internacional.

La mayor parte de estos ataques tiene xito gracias a una configuracin incorrecta
del servidor o a errores de diseo del mismo: si se trata de grandes empresas, los
servidores web suelen ser bastante complejos (alta disponiblidad, balanceo de
carga, sistemas propietarios de actualizacin de contenidos...) y difciles de
administrar correctamente, mientras que si la empresa es pequea es muy posible
que haya elegido un servidor web simple en su instalacin y administracin pero en
el cual es casi (>casi?) imposible garantizar una mnima seguridad: s, hablamos de
Microsoft Internet Information Server, un sistema que reconocidos expertos en
seguridad han recomendado pblicamente no utilizar en entornos serios. Sea por el
motivo que sea, la cuestin es que cada da es ms sencillo para un pirata ejecutar
rdenes de forma remota en una mquina, o al menos modificar contenidos de
forma no autorizada, gracias a los servidores web que un sistema pueda albergar.

Cualquier analizador de vulnerabilidades que podamos ejecutar contra nuestros

sistemas (NESSUS, ISS Security Scanner, NAI CyberCop Scanner...) es capaz de
revelar informacin que nos va a resultar til a la hora de reforzar la seguridad de
nuestros servidores web; incluso existen analizadores que estn diseados para
auditar nicamente este servicio, como whisker. Ejecutando este ltimo contra una
mquina podemos obtener resultados similares a los siguientes:

anita:~/security/whisker$ ./whisker.pl -h luisa

-- whisker / v1.4.0 / rain forest puppy / www.wiretrip.net --

=-=-=-=-=-=

= Host: luisa

= Server: Apache/1.3.19 (Unix) PHP/4.0.4pl1 mod_ssl/2.8.2 OpenSSL/0.9.5a

+ 200 OK: HEAD /docs/

+ 200 OK: HEAD /cgi-bin/Count.cgi

+ 200 OK: HEAD /cgi-bin/textcounter.pl

+ 200 OK: HEAD /ftp/

+ 200 OK: HEAD /guestbook/

+ 200 OK: HEAD /usage/

anita:~/security/whisker$

Podemos ver que el servidor nos proporciona excesiva informacin sobre su

configuracin (versin, mdulos, soporte SSL...), y que la herramienta ha obtenido
algunos archivos y directorios que pueden resultar interesantes para un atacante:
en el caso de los CGI no tiene ms que acercarse a alguna base de datos de
vulnerabilidades (especialmente recomendables son

http://www.securityfocus.com/ o http://icat.nist.gov/) e introducir en el buscador

correspondiente el nombre del archivo para obtener informacin sobre los posibles
problemas de seguridad que pueda presentar. El caso de los directorios es algo
diferente, pero tpicamente se suele tratar de nombres habituales en los servidores
que contienen informacin que tambin puede resultarle til a un potencial atacante.

*Cmo evitar estos problemas de seguridad de los que estamos hablando? Una
medida elemental es eliminar del servidor cualquier directorio o CGI de ejemplo que
se instale por defecto; aunque generalmente los directorios (documentacin,
ejemplos...) no son especialmente crticos, el caso de los CGIs es bastante
alarmante: muchos servidores incorporan programas que no son ni siquiera
necesarios para el correcto funcionamiento del software, y que en ciertos casos -
demasiados - abren enormes agujeros de seguridad, como el acceso al cdigo
fuente de algunos archivos, la lectura de ficheros fuera del DocumentRoot, o incluso
la ejecucin remota de comandos bajo la identidad del usuario con que se ejecuta
el demonio servidor.

Otra medida de seguridad bsica es deshabilitar el Directory Indexing que por

defecto muchos servidores incorporan: la capacidad de obtener el listado de un
directorio cuando no existe un fichero index.html o similar en el mismo; se trata de
una medida extremadamente til y sobre todo sencilla de implantar, ya que en
muchos casos un simple `chmod -r' sobre el directorio en cuestin es suficiente para
evitar este problema. A primera vista esta medida de proteccin nos puede resultar
curiosa: a fin de cuentas, a priori todo lo que haya bajo el Document Root del
servidor ha de ser pblico, ya que para eso se ubica ah. Evidentemente la teora
es una cosa y la prctica otra muy diferente: entre los ficheros de cualquier servidor
no es extrao encontrar desde archivos de log - por ejemplo, del cliente FTP que
los usuarios suelen usar para actualizar remotamente sus pginas, como
WS/SMALL>_FTP.LOG - hasta paquetes TAR con el contenido de subdirectorios
completos. Por supuesto, la mejor defensa contra estos ataques es evitar de alguna
forma la presencia de estos archivos bajo el Document Root, pero en cualquier caso
esto no es siempre posible, y si un atacante sabe de su existencia puede
descargarlos, obteniendo en muchos casos informacin realmente til para atacar
al servidor (como el cdigo de ficheros JSP, PHP, ASP...o simplemente rutas
absolutas en la mquina), y una excelente forma de saber que uno de estos ficheros
est ah es justamente el Directory Indexing; por si esto no queda del todo claro, no
tenemos ms que ir a un buscador cualquiera y buscar la cadena `Index of /admin',
por poner un ejemplo sencillo, para hacernos una idea de la peligrosidad de este
error de configuracin.

Adems, en cualquier servidor web es muy importante el usuario bajo cuya identidad
se ejecuta el demonio httpd: ese usuario no debe ser nunca el root del sistema
(evidente), pero tampoco un usuario genrico como nobody; se ha de tratar siempre
de un usuario dedicado y sin acceso real al sistema. Por supuesto, las pginas
HTML (los ficheros planos, para entendernos) nunca deben ser de su propiedad, y
mucho menos ese usuario ha de tener permiso de escritura sobre los mismos: con
un acceso de lectura (y ejecucin, en caso de CGIs) es ms que suficiente en la
mayora de los casos. Hemos de tener en cuenta que si el usuario que ejecuta el
servidor puede escribir en las pginas web, y un pirata consigue - a travs de
cualquier tipo de error (configuracin, diseo del demonio...) - ejecutar rdenes bajo
la identidad de dicho usuario, podr modificar las pginas web sin ningn problema
(que no olvidemos, es lo que perseguir la mayora de atacantes de nuestro servidor
web).

Igual de importante que evitar estos problemas es detectar cuando alguien trata de
aprovecharlos intentando romper la seguridad de nuestros servidores; para
conseguirlo no tenemos ms que aplicar las tcnicas de deteccin de intrusos que
veremos en el captulo siguiente. Una caracterstica importante de los patrones de
deteccin de ataques va web es que no suelen generar muchos falsos positivos,
por lo que la configuracin de la base de datos inicial es rpida y sencilla, al menos
en comparacin con la deteccin de escaneos de puertos o la de tramas con alguna
caracterstica especial en su cabecera.
 REFERENCIAS BIBLIOGRAFICAS
(eumede "Enciclopedia Virtual", 2007, pg. 4)

(Hezek, 2010, pgs. 4-7)

(Rodriguez, 2015, pgs. 7-9)

(Colombia, 2016, pgs. 9-11)

(Huerta, 2002)

Colombia, H. D. (Agosto de 2016). Obtenido de Host Dime Blog:

http://blog.hostdime.com.co/tipos-de-ataques-mas-comunes-a-sitios-web-y-servidores/

eumede "Enciclopedia Virtual". (2007). Obtenido de http://www.eumed.net/libros-

gratis/2007b/286/0.htm

Hezek. (2010). Taringa. Obtenido de http://www.taringa.net/posts/info/7697167/Hackear-

paginas-web.html

Huerta, A. V. (2002). Obtenido de Ibiblio:

https://www.ibiblio.org/pub/linux/docs/LuCaS/Manuales-LuCAS/SEGUNIX/unixsec-2.1-
html/node279.html

Rodriguez, S. G. (2015). Obtenido de Mejores Hackers Del Mundo:

https://mejoreshackerfamosos.blogspot.mx/2015/02/como-y-por-que-se-hackean-los-
sitios.html