Hace poco había publicado una serie de post dedicados al uso de los dispositivos Iphone / Ipod Touch como herramientas para los Test de Penetración:

=========================================================
Iphone/Ipod Touch como herramienta de Test de Penetración (I de III)
Iphone/Ipod Touch como herramienta de Test de Penetración (II de III)
Iphone/Ipod Touch como herramienta de Test de Penetración (III de III)
=========================================================

Ahora veremos una técnica más avanzada para realizar este tipo de procedimientos.

El siguiente video tutorial muestra el proceso necesario para llevar a cabo un ataque del tipo MitM ejecutandose desde el Ipod Touch/Iphone.

Resumen:

• Identificación de máquina (dispositivo) objetivo y equipos objetivos (Laptop/PC, Router)
• Ejecución de VNCviewer (Solo para propósitos demostrativos para el correcto entendimiento del video)
• Instalación de la herramienta PIRNI desde cydia en el Ipod Touch/Iphone (Info PIRNI).
• Ejecución de la herramienta PIRNI:
  • pirni (visualización de opciones de la herramienta)
  • pirni -s IP_GW -d IP_máquina_objetivo -o archivo_salida.pcap
• Transferencia del archivo .PCAP a un equipo para analizar los paquetes capturados (FileZilla)
• Análisis de los paquetes capturados (Wireshark con filtro HTTP y método POST)

Descargar video tutorial: Ataque MitM desde un Iphone / Ipod Touch (Password: www.dragonjar.org)

Comencemos entonces por definir los conceptos de Test de Penetración y BackTrack:

Test de penetración:
Test de Penetración, también llamado a veces “hacking ético” es una evaluación activa de las medidas de seguridad de la información.
En los entornos de red complejos actuales, la exposición potencial al riesgo es cada vez mayor y securizar los sistemas se convierten en un auténtico reto.
A través del Test de Penetración es posible detectar el nivel de Seguridad Interna y Externa de los Sistemas de Información de la empresa, determinando el grado de acceso que tendría un atacante con intenciones maliciosas. Además, el servicio chequea las vulnerabilidades que pueden ser vistas y explotadas por individuos no autorizados, “crackers”, agentes de información, ladrones, antiguos empleados, competidores, etc.

Los servicios de Test de Penetración permiten:
- Evaluar vulnerabilidades por medio de la identificación de debilidades de configuración que puedan ser explotadas.
- Analizar y categorizar las debilidades explotables basadas en el impacto potencial y posibilidad de ocurrencia.
- Proveer recomendaciones prioritizadas para mitigar y eliminar las debilidades.

El Test de Penetración está dirigido a la búsqueda de agujeros de seguridad de forma focalizada en uno o varios recursos críticos, como puede ser el firewall o el servidor Web.

BackTrack:
BackTrack es una distribución GNU/Linux en formato LiveCD pensada y diseñada para la auditoría de seguridad y relacionada con la seguridad informática en general. Actualmente tiene una gran popularidad y aceptación en la comunidad que se mueve en torno a la seguridad informática.
Deriva de la unión de dos grandes distribuciones orientadas a la seguridad, el Auditor + WHAX.
WHAX es la evolución del Whoppix,(WhiteHat Knoppix) el cual pasó a basarse en SLAX en lugar de en Knoppix.
Incluye larga lista de herramientas de seguridad listas para usar, entre las que destacan numerosos scanners de puertos y vulnerabilidades, archivos de exploits, sniffers, herramientas de análisis forense y herramientas para la auditoría Wireless.
Fue incluida en la famosa lista Top 100 Network Security Tools del 2006 disponible en SecTools.Org
Web Oficial de BackTrack

Luego de tener claro las anteriores definiciones podemos entender que la finalidad de nuestro Laboratorio de Test de Penetración con BackTrack, será el ofrecer las técnicas, procesos y procedimientos necesarios para llevar a cabo un Test de Penetración haciendo uso de la Multi-Herramienta BackTrack.

Esto conllevará entonces a aprender y prácticar con ejemplos claros, sobre el uso de esta máginifica distribución. Además de las metodologías necesarias en un Test de Penetración.

Palabras clave: BackTrack, Test de Penetración, Distribución, LiveCD, scanner de puertos, Vulnerabilidades, exploits, sniffers, análisis forense, Wireless.

En el próximo Laboratorio, definiré los recursos necesarios y el contenido temático del Laboratorio.

Práctica 43 – capturando datos transmitidos en la red
Herramienta: WinDump
Prerequisitos: WinPcap
Contramedidas: Encriptación de datos, Sistemas de detección de sniffers.
Descripción: WinDump es una versión para windows de la herramienta Tcpdump contenida en BackTrack. Esta utilidad permite capturar el tráfico de red mediante una línea de comandos, permitiendo además guardar los datos capturados a un archivo de texto para su posterior análisis.
Procedimiento: Descargar y ejecutar la herramienta WinDump mediante la siguiente sintaxis:

windump <opciones>

Veamos:

Procedemos a descargar la herramienta desde el link “WinDump”

Ubicamos la herramienta mediante línea de comandos

Ejecutamos la herramienta con la siguiente sintaxis:

windump <opciones>

Para mi caso haré uso de la opción -i (selección de interface de red número 2), además de >> para salvar los datos capturados a un archivo de texto

windump -i 2 >> lab_windump.txt

En el momento que deseemos para el escaneo solo basta con presionar las teclas Ctrl + C.

Veamos ahora el contenido del archivo guardado.

Desde allí será posible analizar los datos capturados, en busca de usuarios, contraseñas, correos electrónicos, direcciones IP, direcciones MAC, IP’s de routers, etc.

Más información y manual de WinDump __________________________________________________________

Práctica 44 – Detección de sniffers en la red
Herramienta: Promqry
Prerequisitos: Ninguno
Descripción: La herramienta Promqry ha sido desarrollada para detectar los sistemas que tienen tarjetas de red funcionando en modo promiscuo (lo que suele utilizarse para activar sniffers y capturar todo tipo de tráfico, aunque en especial claves y usuarios de acceso). En un puesto en el que no esté justificado por alguna razón concreta, puede resultar muy sospechoso que se de esa circunstancia, por lo que una revisión de vez en cuando con una herramienta de este tipo puede ahorrar más de un disgusto.
Desde luego, esta no es la única herramienta de este tipo disponible, pero su sencillez y fácil acceso puede hacer que algunos administradores que no hayan tenido en cuenta un problema así se animen a cuidar también ese aspecto de la seguridad.
Procedimiento: Descargar, instalar y ejecutar la herramienta Promqry.

Veamos como llevar a cabo el proceso de uso de la herramienta Promqry para la detección de un sniffer. “La detección de sniffers es una de las múltiples tareas, y una de las más desconocidas, que todos los administradores de seguridad tienen que realizar para garantizar que la seguridad de sus redes no se vea comprometida. Si bien hay un buen número de herramientas que facilitan esta tarea, es importante conocer en profundidad cómo funcionan para poder interpretar y relativizar sus resultados, ya que estos programas tienen un buen número de limitaciones y pueden ser engañados con facilidad para producir falsos positivos y falsos negativos“.
(Más información sobre la detección de sniffers)

Descargar la herramienta desde el enlace (Promqry), también disponible mediante línea de comandos (Promqry línea de comandos). Ejecutar el archivo descargado y aceptamos los términos de licencia

Descomprimimos a la ruta de nuestra preferencia

Vamos a la ubicación donde descomprimimos el archivo instalador para proceder a ejecutar el mismo

Si no tenemos instalado el .NET Framework version 1.1.4322 nos pedirá que lo instalemos, además nos ofrecerá el enlace de descaraga del mismo

Finalmente comienza la instalación

Luego de instalar la herramienta procedemos a realizar una sencilla configuración. Para ello asignaremos un pequeño rango de IP’s de nuestra red. (en mi caso lo haré solo para 80 IP’s, incluyendo la IP del equipo desde el cual ejecutaré un sniffer – WireShark)

Desde otra máquina de mi red (pueden utilizar la máquina virtual) ejecutaré el sniffer por excelencia WireShark

Después de dejar en marcha el sniffer capturando los datos de la red, procedemos a ejecutar la consulta con la herramienta Promqry

Terminadas las consultas de la herramienta vemos como en la pantalla principal aparece el resultado de las mismas. En este caso: positivo.

Analizando un poco más los resultados de la herramienta podemos observar el detalle de la máquina atacante. (tarjeta en modo promiscuo)

Taller individual: Otras herramientas sniffers y anti-sniffers.

Próxima sesión: Ataques por fuerza bruta (brute Force)

Práctica 42 – Captura de paquetes – Extrayendo datos desde el tráfico de red con Ngrep
Herramienta: Ngrep
Prerequisitos: Ninguno
Contramedidas: Encriptación de datos, Sistemas de detección de sniffers
Descripción: Ngrep es un sniffer de redes que actualmente reconoce varios protocolos, entre ellos:
TCP/IP, UDP, ICMP, IGPM, PPP, SLIP, FDDI, Token Ring e interaces nulas.
Procedimiento: Para windows, ejecutar desde el directorio contenedor del archivo. Desde BackTrack ejecute la siguiente sintaxis:

ngrep <opciones>

Veamos como hacerlo de Linux BackTrack:

Para ejecutar desde Backtrack basta con abrir una shell y escribir ngrep. Para el ejemplo de uso lo haré con las opciones por defecto de la herramienta. Para ello he creado una carpeta en el escritorio, con el nombre de ngrep. Desde allí ejecuté la herramienta, automaticamente a detectado la interface de red por defecto.

Justo allí comienza el proceso de sniffing de datos transmitidos sobre la red. Para la demostración de concepto haré un sniffing mientras inicio sesión en un servidor Web de correo electrónico. Además de esto haré uso de la opción de salvar los paquetes interceptados en ngrep (ngrep >> sniffing_ngrep.txt).

Luego de iniciar sesión procedo a analizar los datos capturados. Según el tamaño del archivo generado es posible analizarlo haciendo uso de la herramienta cat de linux (cat sniffing_ngrep.txt), o visualizarla por medio de algún editor de textos (ej. KWrite).

Rápidamente es posible visualizar los datos de login (usuario-contraseña) en este servidor Web de correo electrónico.

Esto demuestra la eficacia de ngrep como sniffer de redes.

Veamos ahora el modo de uso en Windows:

Desde la carpeta contenedora de la herramienta ejecutamos el comando ngrep.
Para mi caso haré uso adicional de la opción de selección de interface de red (-d dev) ej. 2.

Sniffer ngrep en ejecución.

Para el modo de uso en Windows, también haré uso de la opción salida a archivo de texto (>> nombre.txt) ej. ngrep -d 2 >> sniffing_ngrep.txt

Para el ejemplo mostraré una captura de un mensaje enviado desde un correo en hotmail a un correo en gmail.

Luego de enviar el mensaje pasamos a analizar los datos capturados, para ello haré uso del editor de texto notepad.

Mensaje original

Mensaje interceptado

Próxima sesión
Sniffing III

Veamos la definición que nos ofrece la Wikipedia:

En informática, un packet sniffer es un programa de captura de las tramas de red. Generalmente se usa para gestionar la red con una finalidad docente, aunque también puede ser utilizado con fines maliciosos.

Es algo común que, por topología de red y necesidad material, el medio de transmisión (cable coaxial, UTP, fibra óptica etc.) sea compartido por varias computadoras y dispositivos de red, lo que hace posible que un ordenador capture las tramas de información no destinadas a él. Para conseguir esto el sniffer pone la tarjeta de red o NIC en un estado conocido como “modo promiscuo” en el cual en la capa de enlace de datos no son descartadas las tramas no destinadas a la MAC address de la tarjeta; de esta manera se puede obtener (sniffar) todo tipo de información de cualquier aparato conectado a la red como contraseñas, e-mail, conversaciones de chat o cualquier otro tipo de información personal (por lo que son muy usados por delincuentes informáticos, aunque también suelen ser usados para realizar comprobaciones y solucionar problemas en la red de modo legal). (Continúa leyendo la definición de wikipedia).

Partiendo desde esta definición, continuemos con las prácticas.

Práctica 41 – Captura de paquetes – Extrayendo datos desde el tráfico de red
Herramienta: Ethereal – Wireshark
Prerequisitos: WinPcap
Contramedidas: Encriptación de datos, Sistemas de detección de sniffers
Descripción: Wireshark (antes Ethereal), es un analizador de protocolos utilizado para realizar análisis y solucionar problemas en redes de comunicaciones para desarrollo de software y protocolos, y como una herramienta didáctica para educación. Cuenta con todas las características estándar de un analizador de protocolos. (más información).

La información que puede tener un atacante (en este caso, nosotros como investigadores) haciendo uso de este tipo de ataques es la siguiente:

• Direcciones IP
• Nombres de host (Hostnames)
• Routers y rutas de transmisión
• Datos (la mayoría de los datos transmitidos en red circulan en texto plano, incluyendo FTP, Telnet, e-mail, etc.)
• Información de protocolos

Mediante este tipo de ataques, el delincuente informático puede construir ataques más elaborados, en apoyo de los datos obtenidos por esta técnica.
Procedimiento: En windows: Descargar e instalar la herramienta wireshark, como alternativa puede utilizarse el recurso portable publicado hace algunos meses en la Web. (Descargar Wireshark portable).
Desde BackTrack, basta con solo ejecutar la herramienta, pues esta ya viene instalada y lista para ser utilizada (razón principal por la cual escogí esta distribución).

Veamos el proceso llevado a cabo en Windows:

Ingresar a la web del proyecto Wireshark, y descargar la herramienta

Después de descargar ejecutamos el archivo instalador

Ahora procedemos a instalar

Aceptamos los términos de licencia

Accesos directos

Ruta de instalación de la herramienta

Instalación de WinPcap

Finalizada la instalación vamos a dar clic al acceso directo para ejecutar la herramienta. Veamos la interfaz gráfica de Wireshark.

El objetivo primordial de estos laboratorios es mostrar de manera práctica algunas técnicas utilizadas por los delincuentes informáticos, ofreciendo además algunas posibles contramedidas a dichas técnicas, por esto mostraré como la herramienta Wireshark puede ser utilizada para interceptar el flujo de información en las redes. Si bien es cierto que la finalidad de la herramienta es ofrecer soporte a problemas y fallas de comunicaciones en las topologías de red, también puede ser utilizada como se mencionó en un comienzo para hacerse a datos sensibles transmitidos en ella.
(En próximos laboratorios trataremos el uso de muchas de las herramientas tratadas en estas prácticas pero a mayor profundidad, es decir, las estudiaremos a un nivel más detallado y no, de un modo tan meramente práctico).

Desde la pestaña Capture, hacemos clic en el boton Options

Esta ventana nos permitirá seleccionar nuestra tarjeta de red, para mi caso Broadcom NetXtreme Gigabit Ethernet, además activaremos la opción de resolución de nombre de red. Las demás opciones las podemos dejar por defecto, claro está que cada investigador debe profundizar en cada una de ellas.

Dicho esto, comenzaremos con el sniffing de tráfico. Clic en Start

Captura de pantalla de la herramienta Wireshark en ejecución, rápidamente observamos como recoje cada uno de los datos transmitidos en la red. Es una de las mejores herramientas para este propósito.

Para la demostración de efectividad de la técnica utilizaré la transmisión de datos entre un servidor y un cliente FTP, enviaré un archivo de texto plano que tenía en una carpeta de pruebas de estegoanálisis (tema tratado en este post), aclaro que el archivo de texto nada tiene que ver con el tema del sniffing, solo era un texto que estaba utilizando para la detección de técnicas de estenográficas de dicha herramienta.

Después de transmitir el archivo, damos clic en stop, seguido de protocol, para organizar un poco los resultados arrojados, nos desplazamos a los relacionados con el protocolo FTP, clic derecho Follow TCP Stream.
Vemos a continuación todo el proceso capturado, para este caso, el proceso de login entre el cliente y el server FTP

Los datos sniffados (recolectados, “olfateados”) – capturados son los siguientes:
Versión del servidor FTP – Serv-U 2.5 en modo trial de 45 días
Nombre de usuario del server: avatar
Contraseña de usuario del server: avatar
Servidor FTP ejecutandose en “modo pasivo”

Y si fuera poco y explorando aún más podemos encontrar el texto escrito en el archivo transmitido a manera de prueba.

Ventana de configuración y de registro de conexiones del servidor FTP (captura para demostración de la veracidad de los datos capturados)

Práctica llevada a cabo desde la distribución BackTrack. Al igual que desde windows, desde la interfaz de Wireshark, el proceso es el mismo. Veamos

Clic en K, BackTrack, Privilege Escalation, Sniffers, Wireshark

Desde aquí, el proceso de sniffing es idéntico al realizado desde Windows (serie de capturas de pantalla de Wireshark en ejecución desde BackTrack)

Interfaz Wireshark

Configuración de tarjeta de red y resolución de nombres

Wireshark en ejecución

Pantalla de actividad y registros de capturas

Detalle y análisis de datos capturados

A modo de conclusión solo me queda decir que Wireshark es catalogada como la mejor herramienta para el análisis de datos de transmisión de redes. Y que esta es solo una mínima demostración de sus bondades como herramienta hacking y/o de auditoría de redes. De nuevo hago la invitación a los investigadores a que profundicen en los diferentes usos que puede tener la herramienta, para ello pueden hacer uso de la documentación oficial del proyecto.

Próxima sesión
Sniffing II

Algunas notas aclaratorias:

Los términos utilizados en los laboratorios referentes a “hacking”, “hacker”, etc, son bajo la definición de especialistas en seguridad y sistemas informáticos. Muy diferente a la definición que dan algunos medios de información, relacionandolos con delincuentes. Para mí (apreciación personal), las personas que se dedican a causar estragos, robos, y demás actos, reciben la denominación de delincuentes informáticos; (personas que realizan actos delictivos mediante la utilización de herramientas informáticas).

El contenido temático de los laboratorios estará dirigido para usuarios con un nivel de conocimientos del tema comprendido entre básico y medio. El material expuesto no está enfocado para usuarios de amplia experiencia en el tema, por el contrario pretende acercar a los entusiastas de aprender y que aún no encuentran la manera de comenzar de un modo más práctico. Pretende refrescar un poco los conocimientos de usuarios avanzados, y pretende invitar a los mismos a desarrollar sus propios laboratorios para el conocimiento de toda la comunidad investigadora.
Los laboratorios pretenden ser lo más práctico posible, obviamente citando las fuentes de profundización para obtener más información sobre los temas tratados.
Casi la totalidad de los laboratorios serán llevados a cabo bajo entornos controlados de instrusión, utilizando máquinas virtuales, con diferentes sistemas operativos, entre ellos “BackTrack”, “OpenSuSe Linux”, “Windows Server 2003 Edición Enterprise”, “NetBSD”, entre otros.

Contenido:

• Introducción y descripción de los laboratorios.

Instalación y configuración del ambiente virtual controlado de los laboratorios. (Instalación de VMware WorkStation – Instalación de la distribución BackTrack – Instalación de Windows 2003 Server Enterprise Edition – Instalación de las VMware Tools)

• Identificación de Banner’s (banderas)

Descripción y definición de la identificación de banner’s (utilización de las herramientas y procedimientos: telnet, netcat, Scanline, Xprobe2, AMAP y banner.c, para la identificación de banner’s.)

• Enumeración del objetivo

Descripción y definición del target enumeration (utilización de las herramientas y procedimientos: nullsesion, getmac, user2sid, sid2user, userdump, userinfo, dumpsec, comandos net, ping’s, pathping’s, nmap, nmapfe, nslookup, nmblookup, rpcinfo, visual route, sam spade, netcraft, sprint y winfingerprint, para la enumeración del objetivo).

• Escaneo

Descripción y definición del scanning (utilización de las herramientas y procedimientos: Angry IP, LANguard, Fscan, Passifist, Lanspy, Netcat, Superscan, Strobe, FTPScanner, TCS CGI Scanner, Hydra, WGateScan/ADM Gates, para las diferentes técnicas de escaneo) .

• Sniffing

Descripción y definición del sniffing (utilización de las herramientas y procedimientos: Ethereal-Wireshark, Ngrep, TcpDump, WinDump, IPDump2, ZxSniffer y Sniffit, para las diferentes ténicas del sniffing)

• Spoofing

Descripción y definición del spoofing (utilización de las herramientas y procedimientos: RafaleX, SMAC y Packit, para las diferentes técnicas del spoofing).

• Ataques de fuerza bruta

Descripción y definición del brute force (utilización de las herramientas y procedimientos: NETWOX/NETWAG, FGDump, LC, Cain, CHNTPW, John the ripper, BruteFTP y TSGrinder II, para las diferentes técnias de brute force).

• Escaneo de vulnerabilidades

Descripción y definición del Vulnerability Scanning (utilización de las herramientas y procedimientos: SAINT, NETWOX/NETWAG, Solar Winds, Retina, X-scan, SARA, N-Stealth, Pluto, Metasploit, Nikto, SSS, Cerberus, AutoScan, Nessus y Core Impact, para las diferentes técnicas del vulnerability scanning).

• Redireccionamiento

Descripción y definición de la redirección (utilización de las herramientas y procedimientos: PortMapper, EliteWrap, Fpipe, PsExec y NETWOX/NETWAG, para las diferentes técnicas de la redirección) .

• Denegación del Servicio (DoS)

Descripción y definición de la Denegación del Servicio (utilización de las herramientas y procedimientos: Land Attack, Smurf Attack, SYN Attack, UDP Flood y Trash 2.c, para las diferentes técnicas de Denegación del Servicio).