Metodología de un ataque, By DaBo
Bien, tenia preparado este texto para nuestra nueva web que pronto sabréis cual es pero... en vista de que nuestra audiencia cada vez pide mas info sobre seguridad aquí os voy a postear algo sobre el tema, os voy a poner una parte del texto y no es la final pero espero que sea de interés, va rápido y sin “depurar”, sirva como un ejemplo pero no se me tiren encima los puristas que al texto ya se lo que le falta jaja.
Como lo han hecho??
Bien, esa pregunta es la que mas se hacen los que lo sufren y quienes desde fuera, contemplan esos hechos.
Os digo desde ya que no hay nada de “mágico” en un ataque realizado por un craker, si alguien piensa que esta movida es como en las películas en las que un tio con gafas oscuras intenta adivinar una clave y es muy listo entrando a un sistema ajeno se equivoca.
Normalmente, el hecho de que alguien se introduzca en un sistema furtivamente es el fruto de muchas horas de trabajo, el hacker es muy metódico, además, suele trabajar solo. En sus incursiones se puede valer de varias tácticas y siempre con unos parámetros de trabajo muy marcados.
Hay unos conceptos y actuaciones que se repetirán dando igual si el que los realiza quiere romper un sistema o solo aspira a darse “un paseito” ( sobra diferenciar lo que es un hacker, white o black hat, craker, delincuente común, etc).
Sres; malas noticias, o buenas...es que resulta que un acto de hacking no es mas que el resultado de mucho trabajo previo...
Todo el toque de romanticismo que le queramos dar solo será un engaño hacia nuestra inteligencia, es trabajo, trabajo y trabajo.
Y grandes dosis de imaginación por cierto. Lo primero que se buscara es saber que hay al otro lado, bien, tenemos una ip o tenemos un posible “objetivo” delante, lo principal será en este caso empezar a recopilar información sobre el.
Ya lo hemos comentado en alguna ocasión, consultas al whois, DNS, etc etc, tampoco estará de mas usar google que puede ser el mejor de nuestros aliados en estas ocasiones.
Una vez que sepamos “algo”, proveedor de acceso a Internet, Server, Hosting etc se pasaria al siguiente acto.
Servicios activos, aquí se trata de saber todo lo posible sobre ese “host” pero a nivel de RED o hardware
FTPs anónimos, Telnets sin autentificación, Net Bios “open”, Servidores de correo “open relay” etc, nadie se matara buscando servicios tipo “finger” que casi ni se encuentran.
Wingates, Pc Anyware etc con vulnerabilidades o “relays”
Servicios tipo SQL server, Extensiones Frontpage, CGI etc.
(no me voy a extender pero hay muchas diferencias entre un server y un PC individual, como los vuestros)
Localización de “demonios” activos, ( termino que proviene de linux, se suele referir a procesos o servicios que se inician con el arranque del sistema)
Puertos que suelen ser usados por troyanos, nunca se dará nada por hecho.
Posibles proxyes o enrutadores con vulnerabilidades (por ejemplo el caso que estudie del analogX) o malas configuraciones
Mac Adress vulnerables (tarjetas de red en modo promiscuo etc)
Rastros de rootkits (tipo netcat, nc.exe) o alguna puerta trasera instalada en el sistema.
Tipo de SO y versión, (buscaran si estan parcheados en algun caso)
Etc etc etc, en fin, no veo nada de romántico, mucho curro si.
Todo este proceso sería llevado a cabo con el mayor sigilo posible, a la hora de escanear no se hara en plan “colega”, se tiene en cuenta que puede haber IDS (intrusión detect system) a la escucha o en el peor de los casos un Honeypot con sus trampas esperando que algun incauto “pase por alli”, además del firewall y sus logs
Se suele hasta programar a nivel de “Sockets” la ocultación de la IP o por ejemplo los intentos de conexión “telnet” o “FTP” (shocks Cain puede valer si no quiere complicarse la vida), no servirá con proxyes al uso, si la “movida” es gorda ese hacker por lo menos se enrutara a traves de tres proxyes
Pero no es lo que mas se suele usar a un nivel alto, lo ideal es que los escaneos sean ocultos, es lo mas difícil pero ya hablaremos con mas calma de los “Shockets”.
Que nadie espere que esos escaneos se hagan en un “timming” de “normal”, seguro que en la mayor parte de los casos iran en modo “paranoico” (hablando del Nmap) con fragmentación de paquetes, escaneos SYN y con señuelos, osea...una pelea entre los firewalls y ellos sin despreciar y a pesar de los “falsos positivos” que vuelcan los UDP.
Una vez recopilada toda esa información, se tomara una birrita y a dormir...
Al día siguiente, con el resultado de todos esos análisis (repito que me paso por alto un montón) y mas tranquilamente, empezara a juntar las piezas del puzzle.
Rápidamente sabrá si ese host es “atacable” o no, se dará cuenta si es un sistema parcheado o algun BUG es visible, sabrá las vulnerabilidades conocidas para algún servicio en curso y si hay la mas mínima posibilidad de éxito en su objetivo.
Una vez dado ese paso, planificara su “ataque” metódicamente, las técnicas son tantas que no acabaríamos de enumerarlas en este post, el hecho es que con que haya solo un punto que flaquee...ya hay una posibilidad.
Ese hacker, de cada 100 host analizadosencontrará una media de 80 a los que “les ve algo raro pero todavía no sabe que...”, de esos 80 aprox, rapidamente podrá ver que al menos 5 son servers y 75 usuarios, de esos 75 usuarios, habrá unos 25 con firewall, de los 50 que quedan podria haber 10 que sean muy vulnerables y de esos 10, podría elegir a unos 3 para ser usados como Zombies en un ataque, haciendo pasar como por un tunel todo su “armamento” hacia por ejemplo, uno de esos 5 servers...
Vaya, yo aquí lo que veo es mucho curro no??? De romántico nada.
Con lo cual, tenéis que pensar que puede que en vuestros paseos por la red, os encontréis con casos como el que os comento, habrá 2 tipos simplemente, el que “haga daño” al sistema y el que no lo haga, vosotros o cualquiera de nosotros, somos el tercero, cuanto mas sepamos de sus métodos, mejor nos protegeremos.
Como habéis visto, lo importante para el atacante es la información, cuanta menos consigan mejor, por eso el uso de firewalls, herramientas como el “proxomitron” por ej y una “higiene internauta” practicada con frecuencia, dejaran menos datos “al aire” que siempre hay alguien que los pueda utilizar con diferentes fines.
Tambien aprovecho para decir que hay bajo mi punto de vista 2 tipos de ataques bien diferenciados, lo que se realizan sobre un Server y un PC individual, el primero dará mas información, también será mas complejo para el posible atacante pero de los segundos aun con menos servicios activos, las vulnerabilidades pueden ser mayores. Ahora bien, las consecuencias de un ataque sobre un Server son imprevisibles pero a un usuario “normal” , tambien le pueden hacer un daño importante.
Este texto será revisado y ampliado oportunamente para la nueva web, simplemente quería desmitificar un poco un acto de hacking, siempre es por alguna mala configuración previa o el aprovechamiento de ella juntado con grandes dosis de ingeniería social.
También aprovecho para deciros que no me tengáis muy en cuenta, esta opinión es personal y habrá sitios y gente mas capacitada que yo para hablaros de ello.
Solo deciros que para aquellos que están interesados en el hacking sin ser o llamarse “hackers” (si veis alguno me lo decís XD) y concienciados de que la seguridad informática es un campo muy a tener en cuenta, antes de hacer un escaneo a un host que no sea “amigo” o el vuestro propio o cualquier exploración, contar hasta 10 y pensar en sus posibles consecuencias, pensar que a veces no sabéis lo que estáis explorando y que sin las dos palabras mágicas o mejor dicho, siglas mágicas poco se puede hacer( se han apoderado de el los “peperos” :twisted: ) , PP, Puertos y Protocolos, esa es la base y como digo en los foros de hacking.
antes de preocuparos por lo ajeno, mirar bien lo que tenéis en casa...
Continuará...
Seguiremos y comentamos en el foro de hacking.