######################################################################
## HACKINDEX ##
## http://www.hackindex.org ##
######################################################################
La información incluída en este documento es expuesta en base a un interés educativo. HackIndex no se hace responsable del uso de dicha información.
El siguiente documento es propiedad de HackIndex y de su autor, pudiendo ser distribuído de forma totalmente libre y sobre cualquier tipo de soporte siempre y cuando se respete el formato original, se cite a A.H.E. como fuente, se incluya un enlace actualizado al documento o a la web del grupo: http://www.hackindex.org ; y se incluya este disclaimer en su totalidad y sin modificación alguna.
Queda extrictamente prohibida su distribución con fines lucrativos, cuando se altere su contenido sin consentimiento o cuando se incumpla cualquier otra condicion citada anteriormente en el presente disclaimer.
######################################################################
Propuesta de Contenido de FAQ Hackindex
Borrador 0.3, 8 de Marzo de 2002
Mantiene: Seldon
Colaboraciones: Jordi Minyana Estruch; Reinoso G.; Seldon; Drizzt; David
Martínez; sunn; Anema; Paco García; Andres;
* ÍNDICE
* CONSIDERACIONES PREVIAS
Q. ¿Qué es un Hacker?
Q. ¿En qué consiste el hacking?
Q. ¿Qué es un cracker?
Q. ¿Existen otras acepciones para cracker?
Q. ¿Qué es un lamer?
Q. ¿Qué es un...?
Q. ¿Cómo entro en un ordenador?
* INTERNET
** Generalidades
Q. ¿Qué es Internet?
Q. ¿Qué es una red de datos?
Q. ¿En qué se diferencia de la red telefónica?
Q. ¿De qué está formada Internet?
** Protocolos
Q. Internet utiliza TCP/IP. ¿Qué es eso?
Q. Entonces, ¿qué es en concreto un protocolo?
Q. ¿Qué tipos de protocolos existen?
Q. ¿Qué es un protocolo orientado a conexión?
Q. ¿y uno sin conexión?
** Dispositivos
Q. ¿Qué es un IMP o nodo?
Q. ¿Qué es un router o enrutador?
Q. ¿y un proxy?
Q. ¿Qué es una subred?
* SERVICIOS
** Web
** IRC
** FTP
** Telnet/SSH
** USENET
** DNS
* NETTIQUETA
** Correo/Listas de Correo
Q. ¿Por qué molestan los mensajes en HTML?
Q. ¿Por qué la gente se enfada cuando no borro el mensaje al que respondo?
Q. ¿Debo presentarme cuando me suscribo a una lista de correo?
** USENET
Q. ¿Porqué la gente se enfada cuando hago una pregunta sencilla?. Solo
quiero aprender
Q. ¿Qué es un Troll?
Q. ¿y un flame?
** IRC
* SCRIPT KIDDING
** Control Remoto (Troyanos)
Q. ¿Qué son esos troyanos de los que todo el mundo habla?
Q. ¿Puedo infectarme simplemente estando conectado?
Q. ¿Cuales son los más utilizados?
Q. ¿Cómo puedo defenderme contra ellos?
Q. ¿Qué es un keylogger?
* TÉCNICAS DE ATAQUE
** Obtención de información
Q. ¿Cómo puedo saber qué sistema operativo tiene otra máquina?
** Sniffing
Q. ¿Qué es un sniffer?
Q. ¿Qué es eso del modo promiscuo?
Q. ¿Cual es la diferencia con un capturador de paquetes?
Q. ¿Cual es el uso más frecuente de estos programas?
Q. ¿Cómo puedo saber si tengo un sniffer instalado?
Q. ¿Puedo comprobarlo remotamente?
** Spoofing
Q. ¿En que consiste el spoofing?
Q. vale, ¿en qué consiste el "ip spoofing"?
Q. ¿y el DNS spoofing?
Q. ¿y el Web spoofing?
Q. ¿Qué es el spoofing ciego (blind spoofing)?
Q. ¿y el no ciego?
Q. ¿Cómo utilizo el spoofing para navegar y ocultar mi IP?
Q. ¿entonces para que vale esta técnica?
Q. ¿lo he probado con un amigo, pero parece que no funciona :(
** Hijacking
Q. ¿en que consiste el hijacking?
Q. ¿así que necesito poder sniffear la conexión?
** Buffer Overflow
Q. ¿Qué es un buffer overflow?
Q. ¿Por que no funciona ningún exploit de los que descargo de la red?
Q. ¿Qué otros tipos de buffer overflow existen?
Q. ¿Qué es un heap overflow?
Q. ¿Cómo funciona eso de las vtables en C++?
Q. ¿Existen otras formas?
Q. ¿Cómo que el segmento de datos es ejecutable?
Q. ¿Qué funciones debo vigilar en mi programa para evitar estos problemas?
** Rootkits
Q. ¿Qué es un rootkit?
Q. ¿En que consiste troyanizar un sistema?
Q. ¿Cómo puedo saber si mi sistema esta troyanizado?
Q. ¿Existen herramientas para evitar esto?
** Race Conditions
Q. ¿Qué es una race conditions?
Q. vale, pero ponme un ejemplo
** Escaneo de puertos
Q. ¿En que consiste el escaneo de puertos?
Q. ¿Existe alguna forma de detectarlos?
Q. ¿Existe alguna forma de que no se detecte el escaneo de puertos tan
fácilmente?
Q. ¿Qué tipos de escaneos sigilosos existen?
Q. ¿Cómo puedo detectar estos escaneos sigilosos?
Q. ¿Puedo obtener más información de las herramientas de escaneo de
puertos?
Q. ¿Cómo consiguen saber cual es mi sistema operativo?
Q. ¿puedo engañar a estas herramientas para que no sepan que SO utilizo?
** DOS
Q. ¿Qué es un DoS?
Q. ¿Qué tipos de DoS existen?
Q. háblame de los floodings
Q. háblame de los ataques ICMP
Q. háblame de los multiplicadores de tráfico
Q. ¿Qué es eso del DDoS?
Q. ¿quien realiza el ataque real, el master o el daemon?
Q. ¿Qué posibilidades de rastreo existen con este tipo de ataques?
** Web
Q. ¿Qué es un CGI?
Q. ¿Cómo puede un intruso aprovechar un CGI para entrar en mi sistema?
Q. ¿Qué es una cookie?
Q. y el javascript... ¿puede ser peligroso?
Q. ¿Qué es eso de ASP, PHP, JSP,...?
Q. ¿Qué es un servidor de aplicaciones?
* TÉCNICAS DE DEFENSA
** Firewalls
Q. ¿Qué es un firewall?
Q. ¿Entonces es un programa?
Q. ¿Qué puertos debería de bloquear?
Q. ¿Alguno más?
Q. ¿Qué opciones tengo para windows?
Q. ¿y para linux?
Q. ¿Qué es eso de statefull del nuevo iptables?
Q. ¿Y el stateless?
Q. ¿Qué diferencia hay entre statefull y stateless? ¿Cuál es mejor?
Q. ¿Qué es la dmz?
Q. ¿Qué es eso del FW-1 que tanto se ve por ahí?
** IDS - Sistemas de Detección de Intrusos
Q. ¿Qué es un IDS o Sistema de Detección de Intrusos?
Q. ¿Para quién y por qué son necesarios?
Q. ¿Qué opciones tengo para windows?
Q. ¿y para linux?
Q. Mi IDS genera registros (logs) demasiado grandes y/o complicados de leer.
¿Cómo puedo manejarlos?
** Passwords
Q. ¿donde se almacenan las passwords UNIX?
Q. ¿y en Windows?
Q. ¿Qué diferencia hay entre passwd y shadow?
Q. ¿Cómo elijo un buen password?
Q. ¿Qué es lo del MD5 que me dice cuando instalo linux?
Q. ¿Cómo pueden adivinar mis passwords?
Q. ¿Qué es un ataque de fuerza bruta?
Q. ¿y un ataque de fuerza bruta apoyado en diccionario?
Q. ¿Cómo puedo comprobar lo buenas que son mis passwords?
Q. ¿Cómo puedo averiguar las contraseñas de un passwd/shadow?
Q. ¿Cómo puedo averiguar las contraseñas de un PWL?
Q. ¿Y de un .zip? ¿y de un .doc (Microsoft Word)? ¿y de .xls (Microsoft Excel?
¿y de... (añadir)?
** IDS
Q. ¿Qué es un IDS? ¿Para qué sirve?
Q. ¿y un DIDS?
* CRIPTOGRAFÍA
** Generalidades
Q. ¿Qué es la criptografía?
Q. ¿y el criptoanálisis?
Q. ¿en que consiste el servicio de autenticidad?
Q. ¿y el servicio de privacidad?
Q. ¿y el de no repudiación de origen?
Q. ¿Cual es el código más sencillo que puedo utilizar?
Q. ¿Qué es un código de sustitución monoalfabética?
Q. ¿y uno de sustitución polialfabética?
Q. ¿Cómo funcionan los códigos de trasposición?
Q. ¿Qué es eso de ROT13 que veo en mi explorador?
** Claves Privadas
Q. ¿Cómo funcionan los sistemas de clave privada?
Q. ¿Qué es eso de cifrado en bloque y cifrado stream?
Q. ¿existen más tipos de cifrado?
Q. ¿Qué tipos de algoritmos existen de este tipo?
Q. Háblame de DES
Q. Háblame de 3DES
Q. ¿blowfish?
** Claves Públicas
Q. ¿Cómo funcionan este tipo de sistemas?
Q. ¿cuales son los algoritmos más comunes?
Q. Háblame de RSA
Q. ¿Qué servicios se pueden conseguir con estos sistemas?
** Firma Digital
Q. ¿Qué es una firma digital?
Q. vale, pero ¿que es eso de una función hash?
Q. ¿Qué tipos de funciones hash se suelen utilizar?
Q. Háblame de MD5
Q. ¿Qué es eso de las marcas de agua o watermarking?
** Esteganografía
Q. ¿en que consiste esta técnica?
Q. ¿sobre que tipos de información puedo utilizarla?
Q. ¿Cómo la utilizaría con un mensaje de texto?
Q. ¿y con una imagen?
Q. ¿Qué me cuentas del sonido?
* PHREAKING
** Boxes
** Telefonía Móvil
* CRACKING
* VIRII
** Generalidades
** Virus
** Gusanos
** Virus de Macro
** Hoaxes
** Virus UNIX
* OTROS
** Tempest
** Echelon
** Carnivore
######## FIN INDICE #########
* CONSIDERACIONES PREVIAS
Q. ¿Qué es un Hacker?
A.
Q. ¿En qué consiste el hacking?
A.
Q. ¿Qué es un cracker?
A.
Q. ¿Existen otras acepciones para cracker?
A. [NOTA] Ingeniería inversa, frente a hacker que destruye sistemas
Q. ¿Qué es un lamer?
A. Es un principiante en el mundillo del hacking, que no hace ningún mérito
para serlo. Normalmente se entretiene en utilizar utilidades de otros y con
fines no buenos precisamente. Por ejemplo el novatillo que se entretiene por
la red de IRC a mandar ataques o fastidiar a la gente. Son gente que se cree
hacker cuando en realidad son bastante despreciados por esta comunidad.
Q. ¿Qué es un...?
A. Léete el JARGON
Q. ¿Cómo entro en un ordenador?
A.
[Más por definir... las típicas]
* INTERNET
** Generalidades
Q. ¿Qué es Internet?
A. Internet, comúnmente llamada "Red de Redes". Es un conjunto de redes
interconectadas entre sí. Es como una red LAN (Local Area Network) pero a
escala mundial (WAN - World Area Network) que interconecta todos los
ordenadores y dispositivos que están en ella.
Q. ¿Qué es una red de datos?
A.
Q. ¿En qué se diferencia de la red telefónica?
A. La red telefónica usa mayoritariamente conmutación de circuitos, esto es, se dedica un
circuito fisico a la conexión.
Q. ¿De qué está formada Internet?
A. De muchas redes locales enlazadas por una red troncal ( Backbone ) que implementan
un protocolo común para permitir la comunicación, entre todas ellas.
** Protocolos
Q. Internet utiliza TCP/IP. ¿Qué es eso?
A. Transmission control protocol / Internet Protocol. Es el protocolo que se
utiliza en internet para comunicarse los ordenadores. Realmente es IP el que
fluye por Intenet y encima van montándose los distintos protocolos. Es el
encargado de llevar la información a máquinas situadas en distintas redes, por
tanto es el encargado de rutar.
Q. Entonces, ¿qué es en concreto un protocolo?
A. Un protocolo es el conjunto de reglas que gobiernan el intercambio de
datos entre dos entidades. Es decir, para comunicarse dos partes hace falta
que se sigan una serie de pasos, si no la comunicación sería imposible. Es
como si un japonés y un italiano intentaran comunicarse, los dos han de
saber el mismo idioma para que la comunicación sea posible.
Q. ¿Qué tipos de protocolos existen?
A.
Q. ¿Qué es un protocolo orientado a conexión?
A. Es aquel protocolo en el que antes de realizar la comunicación, las
partes implicadas en esta se ponen de acuerdo en realizar la
comunicación. Esta fase inicial se llama establecimiento de conexión
Voy a poner un ejemplo para que quede más claro:
Fulanito quiere hablar con Menganito. Así que fulanito se dirige a
Menganito y le dice:
- "Menganito quiero hablar contigo"
En ese momento Menganito que ya sabe que Fulanito quiere hablar con el
le presta toda su atención:
- "Si Fulanito ¿que quieres?"
Con eso se ha establecido la conexión y ahora Fulanito y menganito
pueden hablar. En el momento que se termine la comunicación ambos se
despedirán.
En el ejemplo la comunicación ha sido orientada a conexión.
Q. ¿y uno sin conexión?
A. Es aquel en que la que se realiza la comunicación sin previo aviso. No
hay un establecimiento inicial de la conexión.
Como ejemplo pongo al pregonero. Este lanza sus mensajes al aire y
nosotros que llevamos las orejas puestas los oímos.
** Dispositivos
Q. ¿Qué es un IMP o nodo?
A.
Q. ¿Qué es un router o enrutador?
A. Es el dispositivo que conecta dos redes de forma que la información fluya entre ambas
sin que ellas perciban que no pertenecen a la misma red. El router es transparente a las
redes que conecta y ambas redes emplean los mismos protocolos.
Q. ¿y un proxy?
A. Es el dispositivo que mantiene una estructura de red interna siendo visible desde el exterior
un único punto. Para la red externa sólo existe un terminal.
Q. ¿Qué es una subred?
A.
* SERVICIOS
** Web
** IRC
** FTP
** Telnet/SSH
** USENET
** DNS
* NETTIQUETA
** Correo/Listas de Correo
Q. ¿Por qué molestan los mensajes en HTML?
A. Por varias razones, entre las principales:
1) Los mensajes en HTML ocupan, como mínimo, el doble de espacio que los
mensajes con sólo texto.
2) No se ven bien en todos los lectores de correo: en algunos pueden aparecer
caracteres extraños, o el texto puede estar colocado de tal forma en la
pantalla que se dificulta mucho su lectura. O también puede ocurrir que el
código HTML no sea interpretado, lo que hace que en el texto aparezcan todo
tipo de palabras extrañas que hacen de la lectura casi un imposible.
3) Un mensaje en HTML puede ser el origen de la una infección de un gusano,
incluso si no lleva ningún archivo adjunto, especialmente si se lee estando
conectado a Internet.
4) Puede contener los conocidos 'web bugs', unas pequeñas imágenes invisibles
para el usuario pero que vulneran su intimidad (es posible conocer quién y en
qué momento ha leído el mensaje)
Q. ¿Por qué la gente se enfada cuando no borro el mensaje al que respondo?
A. Hay gente que se conecta a Internet con módems conectados a la línea
telefónica, en ocasiones módems lentos, y además pagando caras tarifas a la
compañía telefónica. Estas personas pagan cada segundo de conexión y cada
mensaje recibido a precio de oro ;) así que agradecen que los mensajes sean
lo más pequeños posible.
Además, los mensajes que dejan todo el original al que responden,
especialmente si éste es largo, son más difíciles de leer, ya que lo normal
es tener que mover la barra de desplazamiento hasta el final del mensaje para
leerlo completo.
Dejar todo el mensaje original también denota una actitud de dejadez y
desprecio por parte de la persona que lo hace hacia la lista y las personas
que la componen, por no haberse tomado la "molestia" de eliminar las partes
no relevantes del mensaje original.
No obstante, tampoco es bueno eliminar el mensaje original entero: en
este
caso, seguir el hilo de la conversación, y saber a qué mensaje se está
respondiendo, se convierte en una misión complicada. Lo ideal es dejar
únicamente los párrafos a los que se contesta, si la respuesta se hace por
párrafos, o una frase o párrafo que sea representativo del mensaje original.
También se pueden fórmulas del tipo:
[sobre el tema xxx]
bla, bla, bla...
Q. ¿Debo presentarme cuando me suscribo a una lista de correo?
A. Queda a discreción de cada cual: una presentación nunca es mal recibida, pero
puede ser omitida en una lista con gran cantidad de miembros. Justo lo
contrario que en una lista con pocos miembros: lo normal es que todos los
miembros se conozcan, y suele estar mal visto no presentarse al suscribirse.
** USENET
Q. ¿Porqué la gente se enfada cuando hago una pregunta sencilla?. Sólo quiero
aprender
A. [NOTA] FAQ's
Q. ¿Qué es un Troll?
A. Uhm: del AD&D
Dados de Golpe 8
Regenerador
2 ataques por garra
En Internet, alguien que entra en foros de discusión de cualquier tipo con
ganas de montar discusiones, calentando al personal.
Q. ¿Y una guerra santa?
A. Discusiones sin fin sobre el sexo de los angeles: Linux vs Windows, PC vs
Mac, Vim vs Emacs, etc..
Q. ¿y un flame?
A. Un flame es el resultado buscado por un troll que se materializa en
interminables hebras de contenido inútil, muchas veces con insultos y
descalificaciones.
** IRC
* SCRIPT KIDDING
** Control Remoto (Troyanos)
Q. ¿Qué son esos troyanos de los que todo el mundo habla?
A. Los troyanos son programas que ocultan una funcionalidad que no espera el
usuario. Su nombre viene del famoso caballo de Troya. Tan famoso que no cuento
la historia ;-)
En la actualidad, el término troyano se aplica (erróneamente) a programas que
permiten controlar remotamente una máquina. Era habitual, distribuir estos
programas de control remoto utilizando un caballo de troya, que instalaba la
parte servidora de los mismos... Desde el punto de vista de la literatura
estaríamos ante una metonimia :)
Q. ¿Puedo infectarme simplemente estando conectado?
A. Sí, Al estar conectado tu ordenador es inseguro y alguien puede entrar en tu
ordenador y meterte uno. Aunque lo normal es que seas tu mismo inadvertidamente
el que lo instale.
Las facilidades de ejecución automática de algunos clientes de correo actuales,
y problemas de seguridad en los navegadores son otras formas de infección.
Q. ¿Cuales son los más utilizados?
A.
Q. ¿Cómo puedo defenderme contra ellos?
A.
Q. ¿Qué es un keylogger?
A. Un programa que graba todas las pulsaciones de teclas. Un ejemplo de
keylogger (y también hace más cosas) es el VeoVeo, de Marmota, que puedes
encontrar en la página del autor http://welcome.to/craaaack y en la página de
HackIndex http://www.hackindex.org
* TÉCNICAS DE ATAQUE
** Obtención de información
Q. ¿Cómo puedo saber qué sistema operativo tiene otra máquina?
A. Hay varias formas, pero ninguna de ellas es totalmente fiable:
Una posibilidad es utilizar la utilidad "nmap" con la opción -O, que detecta el
sistema operativo. También "queso" lo hacía, pero tengo entendido que hace
tiempo que no se actualiza. Pero estas detecciones pueden ser engañadas o no
dar ningún tipo de resultados con productos de seguridad que pueden ser
aplicados como parche al kernel de Linux, por poner un ejemplo. O alguna otra
máquina por medio que sea la que está respondiendo en vez de la que queremos
obtener información. De todos modos, siempre serán más fiables que el resto de
pruebas.
También con nmap u otro escáner de puertos podemos obtener más pistas: Windows
NT generalmente escucha por el puerto 135 y 139 y en cambio un sistema
Windows9x sólo por el 139.
Otras pruebas consisten en intentar sacar la máxima información de los
servicios activos. Por ejemplo, enviando la petición "HEAD /
HTTP/1.0" al servidor web, devolverá, entre otras, una línea
llamada "Server:" que incluye el servidor web utilizado, lo cual puede dar
pistas. Es muy sencillo modificar el servidor web para que devuelva una línea
falsa, y se puede hacer con todos los servidores, así que ¡cuidado con fiarse
de esto!
También se puede sacar información del FTP con el comando SYST, pero la
mayoría de los FTP, o no devuelven información, o devuelven "UNIX" (a pesar de
estar ejecutándose en Windows) así que es una de las pruebas menos fiables.
También se puede obtener información del RPC (si está ejecutándose casi seguro
que se trata de un UNIX) de Netbios, de SNMP, etc... Es muy difícil encontrar
una máquina con telnet que te reciba diciéndote el sistema operativo instalado,
así que tampoco esto es nada fiable.
Recientemente disponemos de otra posibilidad, un efecto lateral de los nuevos
gusanos que explotan vulnerabilidades de algún servicio. El caso más extendido
es el de IIS (Nimda o RedCode) y es bastante probable que aparezcan nuevos
casos en el futuro.
Esta técnica es totalmente pasiva y ofrece al intruso directamente direcciones
de servidores vulnerables. Que sea pasiva significa que el intruso simplemente
tiene que conectarse y esperar el acceso a su máquina de uno de estos
servidores infectados por un gusano.
Otra posibilidad es el uso del protocolo ICMP. Los trabajos de Ofir Arkin son
muy interesantes... Para obtenerlos haced una búsqueda por ICMP en la sección
library de securityfocus.
En general, lo mejor es la suma de todas estas pruebas: si todas apuntan en la
misma dirección, es muy probable que ése sea el sistema. Pero sin embargo, a
veces hay resultados contradictorios... en estos casos, prima la experiencia
del hacker: la intuición, el valor que se dé a cada una de las pruebas, los
pequeños detalles, etc..
** Sniffing
Q. ¿Qué es un sniffer?
A. Un dispositivo (programa o cacharro hardware) que lee absolutamente todo el
tráfico que circula por un medio de transmisión.
Q. ¿Qué es eso del modo promiscuo?
A. Es un modo de funcionamiento de las tarjetas de red. De forma normal, la
tarjeta de red mira todos los paquetes que pasan por ella,
y si van dirigidos a ella, los pasa al sistema operativo, y si no los descarta.
En modo promiscuo, acepta todos los paquetes que le llegan aunque no sean para
ella. Se utiliza este modo para analizar la red y
para espiar (sniffear)...
Q. ¿Cual es la diferencia con un capturador de paquetes?
A.
Q. ¿Cual es el uso más frecuente de estos programas?
A.
Q. ¿Cómo puedo saber si tengo un sniffer instalado?
A.
Q. ¿Puedo comprobarlo remotamente?
A.
** Spoofing
Q. ¿En que consiste el spoofing?
A. En hacerte pasar por quien no eres.
Q. vale, ¿en qué consiste el "ip spoofing"?
A. Intentar llegar a un sitio usando el protocolo IP pero sin revelar la
direccion que tu máquina está usando realmente.
Q. ¿y el DNS spoofing?
A.
Q. ¿y el Web spoofing?
A.
Q. ¿Qué es el spoofing ciego (blind spoofing)?
A.
Q. ¿y el no ciego?
A.
Q. ¿Cómo utilizo el spoofing para navegar y ocultar mi IP?
A.
Q. ¿entonces para que vale esta técnica?
A. [NOTA] DoS
Q. ¿lo he probado con un amigo, pero parece que no funciona :(
A. [NOTA] Filtrados ISP
** Hijacking
Q. ¿en que consiste el hijacking?
A.
Q. ¿así que necesito poder sniffear la conexión?
A.
** Buffer Overflow
Q. ¿Qué es un buffer overflow?
A. Lee Phrack 49, Smashing the Stack for Fun and Profit, por Aleph1 :)
Q. ¿Por que no funciona ningún exploit de los que descargo de la red?
A.
Q. ¿Qué otros tipos de buffer overflow existen?
A.
Q. ¿Qué es un heap overflow?
A.
Q. ¿Cómo funciona eso de las vtables en C++?
A.
Q. ¿Existen otras formas?
A.
Q. ¿Cómo que el segmento de datos es ejecutable?
A.
Q. ¿Qué funciones debo vigilar en mi programa para evitar estos problemas?
A. gets(), strcpy(),strcat(), sprintf() en general _todas_ las funciones que
trabajan con cadenas en C
** Rootkits
Q. ¿Qué es un rootkit?
A. Un rootkit es un conjunto de herramientas y utilidades. Su misión es
hacer más fácil la intrusión en un sistema, así como también facilitar
posteriores entradas. Muchas de sus herramientas consisten en backdoors.
[Está la pregunta "Qué es un backdoor'"?, por si acaso, una backdoor es una
"puerta trasera" en un software. Es decir, un mecanismo que permite entrar
al sistema de forma diferente a la que lo hariamos normalmente.
Q. ¿En que consiste troyanizar un sistema?
A. Sustituir archivos claves de un sistema operativo o programa por otros
modificados que hagan funciones de troyanos.
Q. ¿Cómo puedo saber si mi sistema esta troyanizado?
A.
Q. ¿Existen herramientas para evitar esto?
A.
** Race Conditions
Q. ¿Qué es una race conditions?
A.
Q. vale, pero ponme un ejemplo
A.
** Escaneo de puertos
Q. ¿En que consiste el escaneo de puertos?
A. Comprobar que una máquina corre ciertos servicios (por cierto, para explicar
esto, debería tb tener la gente claro como una conexión IP está formado por
ip_orig,port_orig e ip_dest,port_dest y queda identificada unívocamente por
eso.
Q. ¿Existe alguna forma de detectarlos?
A. [NOTA] Logs del sistema
Q. ¿Existe alguna forma de que no se detecte el escaneo de puertos tan
fácilmente?
A.
Q. ¿Qué tipos de escaneos sigilosos existen?
A.
Q. ¿Cómo puedo detectar estos escaneos sigilosos?
A.
Q. ¿Puedo obtener más información de las herramientas de escaneo de
puertos?
A.
Q. ¿Cómo consiguen saber cual es mi sistema operativo?
A.
Q. ¿puedo engañar a estas herramientas para que no sepan que SO utilizo?
A.
** DOS
Q. ¿Qué es un DoS?
A. Un ataque de denegación de servicio. Fundamentalmente en cargarse los
servicios que presta una máquina o dispositivo de alguna manera.
Q. ¿Qué tipos de DoS existen?
A.
Q. háblame de los floodings
A. El IRC es realmente la tesis doctoral de esto :), coñas aparte, mandar un
montón de paquetes a un sistema de tal manera que pierda mucho tiempo
procesándolos y no siga prestando el servicio adecuadamente.
Q. háblame de los ataques ICMP
A.
Q. háblame de los multiplicadores de tráfico
A.
Q. ¿Qué es eso del DDoS?
A.
Q. ¿quien realiza el ataque real, el master o el daemon?
A.
Q. ¿Qué posibilidades de rastreo existen con este tipo de ataques?
A.
** Web
Q. ¿Qué es un CGI?
A.
Q. ¿Cómo puede un intruso aprovechar un CGI para entrar en mi sistema?
A.
Q. ¿Qué es una cookie?
A. Son unos ficheros que contienen información del y en el ordenador del
usuario. Las cookies son dipositadas por las páginas web que visitamos, y éstas
las utilizar para identificarnos, con diversos fines, principalmente publicidad
basada en perfiles personales etc.
Q. y el javascript... ¿puede ser peligroso?
A.
Q. ¿Qué es eso de ASP, PHP, JSP,...?
A.
Q. ¿Qué es un servidor de aplicaciones?
A.
* TÉCNICAS DE DEFENSA
** Firewalls
Q. ¿Qué es un firewall?
A. Dispositivo Hardware, software o una combinación de los dos el cual es
utilizado para filtrar tráfico entre diferentes redes conocidas por él.
Las zonas que protege deben ser redes adyacentes al firewall, ya que de otro
modo sería incapaz de tomar decisiones a nivel de filtrado de paquetes.
Tanto el hardware como el software se basa en que un paquete TCP/IP que pasa
por el firewall se compara con unas listas de acceso programadas en el
firewall, si pertenece a cualquier grupo de acceso se dejan pasar, sino se
obvian.
Q. ¿Entonces es un programa?
A. Tal y como hemos dicho no necesariamente. Por ejemplo CISCO PIX es un
firewall hardware.
Q. ¿Qué puertos debería de bloquear?
A. Depende de nuestras necesidades y de nuestra arquitectura de seguridad. En
principio deberíamos bloquearlos todos de entrada (internet-intranet) y tambien
de salida (intranet-internet), ya que esto no es factible (porque no funcionará
nada) abriremos los puertos mínimos necesarios para nuestro funcionamiento
diario.
Hay diferentes firewalls, evidentemente los mejores son los que además de
filtrar los puertos, son capaces de ver que contiene la información que
discurre por él.
Otro punto a tomar en cuenta es la necesidad de bloquear los puertos desde la
red interna a internet, muchos administradores no toman en consideración este
hecho, pero nunca sabemos desde donde puede llegar un ataque, un ejemplo, te
envian por correo un ejecutable que se dedica a conectarse a una maquina en
internet, si nosotros no bloqueamos los puertos de salida tanto por numero de
puerto o por aplicacion, la salida de este "troyano" será inevitable.
Evidentemente, esta pregunta es muy general y se debería poner un caso de
ejemplo de un ISP típico para que se pudiera ver realmente que puertos deben
cerrarse y cuales abrirse. La pregunta es a la inversa, que puertos debemos
abrir, por regla general se cerrarán todos los puertos de entrada excepto el 80
si tenenos servidor web, el 110 si se realizan conexiones POP3 desde el
exterior, el 25 (SMTP)si se utiliza nuestro servidor como relay smtp, el 119 si
tenemos un servidor de news, el 21 si tenemos servidor de ftp, y así
dependiendo de nuestras necesidades. En caso de una pequeña red, sin
publicacion de servidores no hay que abrir nada.
Estos son los puertos por defecto, mi recomendación es que no se utilicen los
puertos por defecto, sino que los translademos, hay varios modos, uno es no
hacer la instalación de los servicios por defecto, otro es utilizar PAT o NAT.
Q. ¿Alguno más?
A. Sí, también debemos evitar aceptar los protocolos UDP e ICMP (permite el
ping). Otro caso muy significativo es el 139 (Netbios). Pero estos puntos son
muy extensos.
Q. ¿Qué opciones tengo para windows?
A.
Q. ¿y para linux?
A.
Q. ¿Qué es eso de statefull del nuevo iptables?
A. Statefull es un nuevo tipo de "firewalling" en el que el firewall controla
cada uno de los paquetes que pasan por él sabiendo a que origen y destino
pertenecen, esto evita que un momento dado y cuando tengamos un puerto
abierto por un establecimiento de conexión, alguna otra conexión pueda
entrar por ese puerto engañando al sistema.
Q. ¿Qué es la dmz?
A. La traducción inmediata es "demilitarized zone" O zona desmilitarizada, es
una zona intermedia entre la intranet e internet. Esta zona es de seguridad
media, es decir hay servicios que son accedidos desde internet y por lo
tanto no podemos garantizar su seguridad al 100%, para realizar una
arquitectura con DMZ debemos tener un firewall con 3 patas como mínimo. Hay
pseudoFirewalls que no contemplan el concepto de DMZ.
Otro concepto que está calando fuerte en el mundo de los firewalls es el
SOHO (small office, home office), en teoría sería otra pata del firewall por
donde entrarían los teletrabajadores (hablando de forma genérica), sería una
zona de seguridad alta a nivel de paquetes, pero también a nivel de
autenticación de usuarios con validación fuerte tipo Radius, TACACS etc.
Estos usuarios deberían ser capaces de llegar al corazón de la empresa por
lo que no podemos dejarlo abierto de cualquier manera y evidentemente la DMZ
no es la mejor zona por donde deban entrar.
Q. ¿Qué es eso del FW-1 que tanto se ve por ahí?
A. FW-1 es el firewall de Checkpoint, es uno de los mejores firewalls a mi
entender que existen, trabaja en plataformas WIndows, Unix, Nokia. Se pueden
realizar VPN´s, soportan redundancia y alta disponibilidad.
** IDS - Sistemas de Detección de Intrusos
Q. ¿Qué es un IDS o Sistema de Detección de Intrusos?
A. Un sistema de detección de intrusos es normalmente un dispositivo que se
conecta a un segmento de la red en modo promiscuo y que mediante comparación
de patrones de ataque puede sugerir al administrador de red un posible
ataque a su sistema.
Un dispositivo se encuentra escuchando en modo promiscuo cuando no es
direccionable en la red, es decir realmente está presente leyendo todos los
paquetes que viajan por el segmento, pero es imposible acceder a el
directamente.
Los IDS's llevan una lista de patrones de ataque, cualquier trama que sea
detectada por el dispositivo IDS se comparará con esos patrones. Aquí
podemos diferenciar entre IDS's reactivos o pasivos, el mejor de los casos
es la reactivo ya que el IDS será capaz de enviar una señal al Firewall para
que automaticamente desconecte la sesión que el IDS ha detectado como
ataque.
Q. ¿Para quién y por qué son necesarios?
A. Son necesarios para cualquier profesional de la seguridad y
administradores de sistemas. Con ellos puedes afinar tu sistema de
seguridad.
Q. ¿Qué opciones tengo para windows?
A. Existen varios en el mercado, uno de los mas populares es el Real Secure.
también existe una version para windows del popular snort.
Q. ¿y para linux?
A. El snort creo que es el mas difundido. Tambien existen IDS físicos, como el NetRanger de Cisco.
Q. Mi IDS genera registros (logs) demasiado grandes y/o complicados de leer.
¿Cómo puedo manejarlos?
A. Una opcion es que el mismo programa IDS haga una presentacion de los logs de manera más legible (Real Secure). Otra opción evidentemente es afinar más la detección de patrones ya que es posible que detecte demasiado trafico y para el IDS todo sea relevante cuando realmente no es asi. En todo caso la interpretación siempre debe ser hecha por un profesional de la seguridad.
** Passwords
Q. ¿donde se almacenan las passwords UNIX?
A. Actualmente muchos sistemas Unix incorporan un sistema de
módulos de autentificación que se denomina PAM (Pluggable Authentication),
definiendo unas interfaces que permiten llevar la autentificación a través
del sistema que queramos: shadow passwords / claves DES shadows/ claves MD5,
bases de datos, etc
El sistema habitual en la práctica es el de guardar la clave DES o el hash MD5
en el archivo /etc/passwd, si no se ha elegido usar shadow, o en el archivo
/etc/shadow, en caso contrario.
Q. ¿y en Windows?
A.
Q. ¿Qué diferencia hay entre passwd y shadow?
A.
Q. ¿Cómo elijo un buen password?
A. Son varios los consejos. En principio cuanto más largos mejor (sin pasarse).
Usar combinaciones de letras, tanto mayúsculas, como minúsculas, como números o
símbolos, todo mezclado. No deben de ser cosas fáciles de deducir a partir de
tus datos personales como nombre, fecha de nacimiento, o cosas por el estilo,
pero tampoco tan complicado que tengas que apuntarlo. Lo mejor sería un
password escrito al azar y sin ninguna relación con el usuario ni con ninguna
palabra en ningún idioma. Normalmente usamos un buen montón de passwords para
accesos a internet, cuenta de correo, ICQ, larguisimo etc. No es recomendable
usar el mismo en todos y variar todos los passwords. También podría ser
recomendable cambiarlos cada cierto tiempo.
Q. ¿Qué es lo del MD5 que me dice cuando instalo linux?
A. Generalmente las contraseñas se cifran con DES (porque hay que cifrarlas con
algo). Una de las limitaciones del DES es que sólo se aceptan contraseñas de
hasta 8 caracteres. Si en vez de guardar la contraseña cifrada guardamos un
hash (v. hash en el glosario) de la misma la protección es la misma (o
mayor) pero ya no existe la limitación de caracteres.
Q. ¿Cómo pueden adivinar mis passwords?
A. Por varios métodos, ingenieria social, fuerza bruta, troyanos, la lista
es numerosa.
Q. ¿Qué es un ataque de fuerza bruta?
A. Consiste en probar una a una las combinaciones que puede tener un
password hasta dar con el correcto. Lógicamente este método puede llegar a
ser muy costoso y lento
Q. ¿y un ataque de fuerza bruta apoyado en diccionario?
A. Cuando la fuerza bruta está apoyada en diccionario, comprobará todos los
passwords que se tengan en dicho diccionario.
Q. ¿Cómo puedo comprobar lo buenas que son mis passwords?
A.
Q. ¿Cómo puedo averiguar las contraseñas de un passwd/shadow?
A.
Q. ¿Cómo puedo averiguar las contraseñas de un PWL?
A.
Q. ¿Y de un .zip? ¿y de un .doc (Microsoft Word)? ¿y de .xls (Microsoft Excel?
¿y de... (añadir)?
A.
** IDS
Q. ¿Qué es un IDS? ¿Para qué sirve?
A.
Q. ¿y un DIDS?
A.
* CRIPTOGRAFÍA
** Generalidades
Q. ¿Qué es la criptografía?
A.
Q. ¿y el criptoanálisis?
A.
Q. ¿en que consiste el servicio de autenticidad?
A. En que el mensaje que dice ser de fulano, sea realmente de fulano sin lugar a
dudas de ningún tipo.
Q. ¿y el servicio de privacidad?
A. Que el mensaje que tenga que leer fulano, lo lea fulano y únicamente él.
Q. ¿y el de no repudiación de origen?
A. Que si tú escribes un mensaje no haya posibilidad alguna de que niegues que
es
tuyo
Q. ¿Cual es el código más sencillo que puedo utilizar?
A.
Q. ¿Qué es un código de sustitución monoalfabética?
A. Se trata de un algoritmo que sustituye cada letra por una distinta según un
código dado.
Q. ¿y uno de sustitución polialfabética?
A. Es como aplicar el de sustitución monoalfabética una vez detrás de otra y
usando códigos de
sustitución distintos.
Q. ¿Cómo funcionan los códigos de trasposición?
A. Adelantan o atrasan uno o varios lugares cada letra. Por ejemplo a->d, f->i.
Q. ¿Qué es eso de ROT13 que veo en mi explorador?
A. Se trata de un algoritmo que desplaza cada letra 13 lugares a la derecha
siguiendo un alfabeto cíclico de 26 letras. Es decir que después de la Z viene
la A otra vez. No se puede decir que sea un algoritmo de cifrado pues es tan
sencillo que no usa ni siquiera clave, puede servir para ocultar
información. Por ejemplo es como decir "esto está ahí, si de verdad quieres
verlo aplica ROT13". El número 13 no es caprichoso, dado que el alfabeto es
cíclico y tiene 26 elementos, la función ROT13 se hace involutiva, es decir,
que si la aplicamos dos veces seguidas obtenemos el texto plano.
** Claves Privadas
Q. ¿Cómo funcionan los sistemas de clave privada?
A.
Q. ¿Qué es eso de cifrado en bloque y cifrado stream?
A.
Q. ¿existen más tipos de cifrado?
A.
Q. ¿Qué tipos de algoritmos existen de este tipo?
A.
Q. Háblame de DES
A.
Q. Háblame de 3DES
A. Ante la debilidad de des se ideó el 3DES. Consta de una clave de 2*64 bits
(que luego se pongan unos pocos a cero siempre es tema aparte). En realidad
son dos claves DES. Entonces se cifra el mensaje con DES usando la
primera. Seguidamente se "descifra" usando la segunda. Y el resultado se
vuelve a cifrar de nuevo con la primera.
Q. ¿blowfish?
A.
** Claves Públicas
Q. ¿Cómo funcionan este tipo de sistemas?
A.
Q. ¿cuales son los algoritmos más comunes?
A.
Q. Háblame de RSA
A.
Q. ¿Qué servicios se pueden conseguir con estos sistemas?
A.
** Firma Digital
Q. ¿Qué es una firma digital?
A.
Q. vale, pero ¿que es eso de una función hash?
A.
Q. ¿Qué tipos de funciones hash se suelen utilizar?
A.
Q. Háblame de MD5
A.
Q. ¿Qué es eso de las marcas de agua o watermarking?
A. Se trata de introducir una información en un archivo de imagen o de sonido o
un documento o de cualquier cosa en general, de tal forma que esa información
se mantenga en lo posible inalterada ante transformaciones que pudiera sufrir
el archivo. Por ejemplo el cambio de tamaño si es una imagen, o un filtro de
audio en un archivo de sonido.
El sistema se ideó inicialmente para identificar la fuente (el creador) de un
archivo sin que un tercero pudiera alterar ni eliminar esa información. Esto
sería útil por ejemplo en la lucha anti piratería (sí, también hay piratería
con las imágenes en la web).
Actualmente y que yo sepa no hay un sistema de marcas de agua seguro todavía.
** Esteganografía
Q. ¿en que consiste esta técnica?
A.
Q. ¿sobre que tipos de información puedo utilizarla?
A.
Q. ¿Cómo la utilizaría con un mensaje de texto?
A.
Q. ¿y con una imagen?
A.
Q. ¿Qué me cuentas del sonido?
A.
* PHREAKING
** Boxes
** Telefonía Móvil
* CRACKING
* VIRII
** Generalidades
** Virus
** Gusanos
** Virus de Macro
** Hoaxes
** Virus UNIX
* OTROS
** Tempest
** Echelon
** Carnivore
|
